BÁO CÁO THÔNG TIN DI ĐỘNG BẢO MẬT NỀN TẢNG GIAO TIẾP PHƯƠNG TIỆN KẾT N¨I VẠN VẬT (V2X)

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VIỆN ĐIỆN TỬ VIỄN THÔNG —————————————– BÁO CÁO BÀI TẬP LỚN THÔNG TIN DI ĐỘNG Đề tài BẢO MẬT NỀN TẢNG GIAO TIẾP PHƯƠNG TIỆN KẾT NỐI VẠN VẬT (V2X) Giảng viên hướng dẫn.Công ngh» không d¥y hi»n đ⁄i dành cho c¡c phương ti»n cho ph†p chúng trao đŒi thông tin vào b§t cø lúc nào, tł b§t kỳ đ¥u, tới b§t kỳ m⁄ng nào, t⁄o thành n•n t£ng giao ti‚p giœa phương ti»n với v⁄n v“t (V2X). Mặc dù có r§t nhi•u læi ‰ch, c¡c øng dụng V2X cũng ph£i đŁi mặt với nhœng thay đŒi lớn đŁi với b£o m“t và quy•n ri¶ng tư mºt mŁi quan t¥m r§t x¡c đ¡ng v… vi ph⁄m không ph£i là hi‚m trong c¡c øng dụng và m⁄ng li¶n l⁄c ô tô. Trong cuºc kh£o s¡t này, chúng tôi cung c§p mºt c¡i nh…n bao qu¡t v• h» sinh th¡i V2X. Chúng tôi cũng xem x†t c¡c v§n đ• b£o m“t, quy•n ri¶ng tư, c¡c ho⁄t đºng ti¶u chun hóa hi»n t⁄i và c¡c cơ ch‚ phÆng thı hi»n có đưæc đ• xu§t trong mi•n V2X. Sau đó, chúng tôi x¡c định c¡c lØ hŒng khŒng lồ cıa c¡c gi£i ph¡p b£o m“t hi»n có và đưa ra c¡c v§n đ• mở.

Từ ý tưởng đến thực tế

Mạng lưới phương tiện hiện đại đã xuất hiện để tạo điều kiện cho các hệ thống giao thông mặt đất thông minh Công nghệ truyền thông trong ô tô kết nối các yếu tố khác nhau như xe cộ, người đi bộ, cơ sở hạ tầng, đường xá, nền tảng dịch vụ điện toán đám mây, v.v Điều này đã nâng cao khái niệm về giao tiếp V2X. Giao tiếp này sử dụng thế hệ công nghệ mạng gần đây để tạo điều kiện thuận lợi cho các kết nối giữa phương tiện với phương tiện (V2V), phương tiện với cơ sở hạ tầng (V2I), phương tiện với người đi bộ (V2P) và phương tiện với đám mây (V2C). Công nghệ giao tiếp V2X được kỳ vọng sẽ cải thiện hiệu quả giao thông, giảm sự cố giao thông và ô nhiễm đường xá, tiết kiệm tài nguyên, v.v Các ứng dụng phổ biến cho V2X bao gồm: an toàn đường bộ (ví dụ: báo cáo sự cố / kẹt xe, cảnh báo va chạm và tránh va chạm), xe tự hành, dịch vụ thông tin giải trí (ví dụ: dịch vụ thông tin giao thông), v.v.

Như với tất cả các nền tảng điện toán kết nối phức tạp, khả năng tính toán gia tăng trong các phương tiện làm tăng khả năng xuất hiện các lỗ hổng tiềm ẩn và cả khả năng xảy ra các cuộc tấn công trong tương lai Mặc dù thực tế là giao tiếp V2X nhằm mục đích cung cấp một cơ sở hạ tầng giao thông mạnh mẽ và linh hoạt, các công nghệ V2X (cả ở hiện tại cũng như những phát triển dự kiến trong tương lai) cũng đặt ra những thách thức bảo mật mới Ví dụ: một phương tiện cố ý gây hại có thể đưa ra quan sát sai về đường đi (ví dụ như tắc đường hoặc tai nạn) và kết quả là các phương tiện khác buộc phải thay đổi hành vi của mình (như là giảm tốc độ hoặc định tuyến lại) Phát hiện và giảm thiểu lỗi tấn công là điều cần thiết cho các hệ thống V2X để được triển khai rộng rãi kể cả sự thật rằng những kẻ tấn công có thể có quyền truy cập vật lý vào một phần con của hệ thống Tấn công vào các hệ thống liên lạc của phương tiện có thể gây ra mất dữ liệu, lỗi từng phần và cũng có thể làm hỏng môi trường và cơ sở hạ tầng Vì vậy, việc đảm bảo an toàn trong nền tảng giao tiếp V2X là rất quan trọng đối với việc thiết kế, hoàn thiện và triển khai công nghệ này trên diện rộng.

Phương pháp luận và các bài đóng góp

Tuy các nghiên cứu trước xác định một số lỗ hổng bảo mật V2X và đề xuất các kỹ thuật giảm thiểu, nhưng vẫn chưa có bản tóm tắt toàn diện nào về các thách thức bảo mật, các hoạt động tiêu chuẩn hóa và các giải pháp hiện có Trong bài báo này, chúng em sẽ tiến hành nghiên cứu các thách thức bảo mật V2X và

Hình 1.1: Hình minh họa giao tiếp V2X tóm tắt các giải pháp hiện có một cách toàn diện Các nhà nghiên cứu đã tìm hiểu hơn 150 bài báo được thu thập từ các kho lưu trữ tài liệu trực tuyến lớn (Google Scholar, IEEE Xplore, ACM Digital Library, Scopus, ScienceDirect, Wiley Online Library) được xuất bản trong 25 năm qua (1994 - 2019) và xác định các vấn đề bảo mật và các biện pháp đối phó liên quan đến V2X Chúng tôi loại trừ các bài báo không liên quan trực tiếp đến vấn đề bảo mật cho xe cộ (ví dụ: những bài báo áp dụng cho các mạng cảm biến / không dây có mục đích chung hơn và / hoặc mạng di động tùy biến, ví dụ: MANET) Các nhà nghiên cứu giới hạn nghiên cứu của mình về hành vi bất thường của hệ thống đối với các hiện tượng có mục đích xấu (không phải do lỗi phần cứng hoặc thành phần) Chúng tôi cũng chủ yếu tập trung vào các khía cạnh bảo mật của giao tiếp V2X và cung cấp các gợi ý cần thiết cho các lĩnh vực khác (chẳng hạn như cơ chế truy cập vô tuyến, phân bổ tài nguyên, quản lý can thiệp, v.v.), khi cần Trong cuộc khảo sát này, các nhà nghiên cứu trình bày những đóng góp sau:

• Thảo luận sâu về công nghệ V2X và các hoạt động tiêu chuẩn hóa quyền riêng tư hay bảo mật.

• Phân loại và tóm tắt các mối đe dọa bảo mật tiềm tàng trong ứng dụng V2X hiện đại.

• Phân loại các phương pháp tiếp cận phát hiện hành vi sai cũng như phân tích toàn diện và thảo luận các giải pháp bảo mật hiện đại nhất của V2X.

Chúng tôi cũng thảo luận về các vấn đề mở có thể xảy ra, tổng hợp nhiều sáng kiến để xây dựng cộng đồng V2X thử nghiệm và so sánh công việc của bài nghiên cứu với các cuộc khảo sát liên quan.

Chương này sẽ cung cấp cái nhìn tổng quan về các giao diện giao tiếp V2X và thảo luận về các mô hình, mạng truyền thông khác nhau.

Giao diện truyền thông

Kiến trúc bên trong của mỗi phương tiện được kết nối với các bộ điều khiển điện tử ECU (nền tảng điện toán nhúng giám sát, điều khiển hệ thống ô tô) cùng với các cảm biến và cơ cấu chấp hành Giao tiếp giữa phương tiện và thế giới bên ngoài như các phương tiện khác hoặc các đơn vị bên đường (RSU) được thực hiện thông qua các giao diện bên ngoài Các giao diện bên ngoài xe cộ này được gắn với thiết bị điều khiển viễn thông (TCU) còn được gọi là đơn vị tích hợp (OBU) - một ECU cung cấp kết nối không dây Đơn vị điều khiển phương tiện phối hợp với OBU để thu thập và phổ biến dữ liệu về phương tiện Các tiêu chuẩn hiện tại cho giao tiếp V2X là giao tiếp tầm ngắn chuyên dụng (DSRC) ở Hoa Kỳ, hệ thống giao thông thông minh hợp tác (C-ITS) ở Châu Âu và ITS Connect ở Nhật Bản Cả DSRC và C-ITS đều hoạt động ở băng tần 5,9 GHz trong khi ITS Connect hoạt động ở băng tần 760MHz Một thay thế cho DSRC/C-ITS là thế hệ tiếp theo của công nghệ viễn thông di động không dây OBU cũng có thể được trang bị các giao diện cho viễn thông tầm xa Các kênh không dây tầm xa này có thể được phân loại là các kênh quảng bá (tín hiệu được phát đi tới nhiều phương tiện mà không cần biết địa chỉ của người nhận) và các kênh có địa chỉ (các tin nhắn được gửi đến các phương tiện có địa chỉ cụ thể.) Ví dụ về các kênh quảng bá bao gồm hệ thống vệ tinh dẫn đường toàn cục (GNSS), tin nhắn giao thông, máy thu vô tuyến vệ tinh, v.v Các kênh địa chỉ cụ thể thường được sử dụng để truyền dữ liệu, thoại tầm xa và được sử dụng để truyền thông di động băng thông rộng.

Mô hình mạng và truyền thông

giao tiếp V2X dựa trên chuẩn IEEE 802.11p

Như đã đề cập trong phần trước, các phương pháp giao tiếp ad hoc V2X dựa trên IEEE 802.11p là DSRC ở Hoa Kỳ và C-ITS ở Châu Âu và ITS Connect ở Nhật Bản Công nghệ giao tiếp V2X dựa trên IEEE 802.11p này đã hoàn thiện và đã được triển khai ở một số quốc gia.

Các hình mẫu hoạt động cho giao tiếp V2X chủ yếu là quảng bá và unicast / multicast dưới dạng tin nhắn thông tin, do đó phù hợp với các ứng dụng V2X như tối ưu hóa giao thông quy mô lớn, kiểm soát hành trình hợp tác, cảnh báo chuyển làn, v.v Đối với một số ứng dụng nhất định ( ví dụ: phần mềm, cập nhật thông tin xác thực bảo mật không dây, quản lý giao thông và nhiên liệu, các ứng dụng không bảo mật như thông tin giải trí hay phát trực tuyến đa phương tiện, v.v.), giao tiếp với các thành phần cơ sở hạ tầng, tức là thông qua RSU có thể giúp tăng phạm vi giao tiếp và kết nối với cơ sở hạ tầng back-end cũng như Internet.

Lớp vật lý (PHY) và lớp điều khiển truy nhập (MAC) cho cả DSRC và C-ITS đều giống nhau, ví dụ: dựa trên tiêu chuẩn sửa đổi IEEE 802.11p cho mạng các phương tiện ITS Connect dựa trên tiêu chuẩn ARIB STD-T109 tương tự như IEEE 802.11p cho các lớp PHY và MAC Các cách tiếp cận kỹ thuật của DSRC và C-ITS có nhiều điểm tương đồng và sẽ là trọng tâm của bài báo này Như đã đề cập trước đó, cả DSRC và C-ITS đều hoạt động ở băng tần 5,9 GHz Tại Hoa

Kỳ, các kênh truyền thông nằm trong khoảng từ 5,825 GHz đến 5,925 GHz và phổ được chia thành các kênh 10 MHz trong khi phân bổ phổ tần của Châu Âu được chia thành nhiều phần: (i) dải tần chính 30MHz dành riêng cho các ứng dụng an toàn và hiệu quả giao thông (lớp A); (ii) 20 MHz cho các ứng dụng không an toàn (loại B); (iii) kênh dùng chung cho mạng cục bộ vô tuyến (lớp C); và (iv) một tập hợp các kênh dành riêng để sử dụng trong tương lai (lớp D) Tại Nhật Bản, ITS Connect hoạt động ở băng tần 60 MHz trong đó băng thông 9 MHz từ 755,5 MHz đến 764,5 MHz được chỉ định cho cả dịch vụ V2V và V2I sử dụng ITS Connect. Để hỗ trợ giao tiếp V2X, cú pháp và ngữ nghĩa của thông điệp V2X đã được xác định bởi các cơ quan tiêu chuẩn hóa Đối với DSRC, bản tin an toàn cơ bản(BSM) truyền tải thông tin trạng thái cốt lõi về phương tiện truyền tải như vị trí,động lực học, trạng thái, v.v BSM là một bản tin gồm hai phần, phần đầu tiên(cũng là phần mặc định) được gửi định kỳ (với tốc độ tối đa 10 Hz) và phần thứ hai được điều khiển theo sự kiện (ví dụ: phanh khẩn cấp, tắc đường, v.v.) và được đưa vào thông báo BSM ở chu kỳ tiếp theo C-ITS tương đương với BSM là thông báo nhận thức hợp tác định kỳ (CAM) và thông báo môi trường phi tập trung hướng sự kiện (DENM) Thông báo BSM hướng sự kiện phù hợp với các vùng lân cận địa phương (ví dụ: phát sóng một bước) khi DENM có thể được sử dụng cho các khu vực địa lý cụ thể (ví dụ: nhiều bước địa lý nhiều bước) BSM, CAM, cũng như DENM không sử dụng mã hóa, tức là chúng được truyền đi không được mã

Báo cáo Bài tập lớn Thông tin Di động hóa Hình 2.1 mô tả một định dạng gói V2X chung.

Hình 2.1: Sơ đồ mức cao của định dạng gói V2X chung

giao tiếp V2X dựa trên LTE

LTE - V2X cho phép các phương tiện giao tiếp với nhau có hoặc không dựa vào các trạm gốc Bản phát hành 3GPP 12 (dự án hợp tác thế hệ thứ 3) chỉ định các dịch vụ lân cận (ProSe) cho giao tiếp thiết bị với thiết bị (D2D) cho phép trao đổi dữ liệu trong khoảng cách ngắn thông qua liên kết giao tiếp trực tiếp (liên kết phụ) dựa trên giao diện PC5 (chế độ 1 và chế độ 2) An toàn công cộng là một trong những dịch vụ mục tiêu của LTE - D2D LTE - V2X là một phần mở rộng của chức năng 3GPP D2D Bản phát hành 3GPP 14 mở rộng chức năng ProSe cho LTE-V2X bằng cách sử dụng giao diện LTE-Uu (đường lên và đường xuống) và giao diện PC5 mới (chế độ 3 và chế độ 4) LTE-V2X PC5 hoạt động ở hai chế độ mới như sau và được biểu diễn ở hình 2.2

• Chế độ 3 (chế độ phân bổ tài nguyên theo lịch trình): Chế độ 3 LTE-V2X PC5 là giao tiếp V2X sử dụng liên kết phụ với lập lịch liên kết phụ bởi các trạm gốc (ví dụ: lập lịch được thực hiện thông qua liên kết Uu ).

• Chế độ 4 (chế độ lựa chọn tài nguyên tự động): Chế độ 4 LTE-V2X PC5 là giao tiếp V2X sử dụng liên kết phụ với các lựa chọn tài nguyên liên kết tự động bởi các phương tiện mà không cần sự trợ giúp của các trạm gốc.

Cả hai chế độ đều sử dụng PC5 cho giao tiếp V2X giữa các phương tiện Ngoài ra, chế độ 3 sử dụng giao diện Uu cho thông tin lập lịch liên kết giữa các phương tiện và trạm gốc.

Khi so sánh với DSRC / C-ITS, kết luận là hệ thống LTE-V2X sẽ cung cấp phạm vi phủ sóng lớn hơn TCác công trình trước đây đã nghiên cứu và so sánh giao tiếp tùy biến V2X (ví dụ: DSRC / C-ITS) với LTE-V2X về phân bổ tài nguyên vô tuyến, hiệu suất, tiêu chuẩn hóa, trường hợp sử dụng, vấn đề triển khai, khả năng tương tác, v.v Lưu ý rằng, không giống như các nền tảng DSRC / C-ITS đã đạt đến độ hoàn thiện cao, công nghệ LTE-V2X vẫn đang được phát triển và các thử nghiệm cần thiết để hỗ một trợ số lượng lớn phương tiện trong môi trường thực cho các ứng dụng an toàn vẫn chưa có sẵn Trong bài báo này, chúng tôi chủ yếu tập trung vào các vấn đề bảo mật cho giao tiếp V2X dựa trên DSRC / C-ITS, mặc dù chúng tôi tin rằng nhiều mô hình có thể được chuyển sang LTE - V2X với các sửa đổi nhỏ (hoặc không đáng kể) Chúng tôi cũng thảo luận về những thách thức bảo mật và các giải pháp hiện tại cho hệ thống truyền thông LTE - V2X.

Hình 2.2: Chế độ giao tiếp LTE – V2X

CHƯƠNG 3: KIẾN TRÚC HIỆN CÓ ĐỂ BẢO MẬT GIAO TIẾP V2X

Trong phần này, chúng tôi trình bày các giải pháp mật mã hiện có cho bảo mật V2X và thảo luận ngắn gọn về các nỗ lực tiêu chuẩn hóa khác nhau Chúng tôi chủ yếu tập trung vào các kịch bản giao tiếp V2X trực tiếp.

Cơ sở hạ tầng khóa công khai

Để bảo mật thông tin liên lạc V2X (ví dụ: để đảm bảo tính toàn vẹn và tính xác thực của tin nhắn), cách tiếp cận phổ biến là sử dụng mật mã bất đối xứng bằng cách sử dụng cơ sở hạ tầng khóa công khai (PKI) để quản lý thông tin xác thực bảo mật và cho phép trao đổi tin nhắn an toàn qua mạng Mỗi phương tiện được cung cấp một cặp khóa bất đối xứng và một chứng chỉ Chứng chỉ gồm khóa công khai với các thuộc tính cụ thể của V2X như ID và được ký bởi cơ quan có thẩm quyền cấp chìa khóa Với cách này, phương tiện được đăng ký tham gia V2X hợp lệ PKI bao gồm các yếu tố chính sau: (a) một bên đáng tin cậy (ví dụ: cơ quan cấp chứng chỉ gốc (RCA)) cung cấp dịch vụ để xác thực danh tính của các thực thể; (b) cơ quan đăng ký được chứng nhận bởi RCA cấp giấy chứng nhận cho các mục đích sử dụng cụ thể được RCA cho phép; (c) một cơ sở dữ liệu lưu trữ các yêu cầu chứng chỉ và các chứng chỉ được phát hành hay bị thu hồi và (d) một kho lưu trữ chứng chỉ trong phương tiện - để lưu các chứng chỉ và khóa bí mật đã phát hành.

Hình 3.1: Sơ đồ của một PKI V2X điển hìnhHình 3.1 minh họa một PKI cấp cao cho giao tiếp V2X Nút giao tiếp (ví dụ: các phương tiện và RSU) là các thực thể đầu cuối của hệ thống sẽ yêu cầu chứng chỉ từ PKI để giao tiếp với các thực thể đầu cuối khác RCA là nút gốc xác thực cho tất cả các chứng chỉ Nó cung cấp chứng chỉ cho các thực thể ủy quyền để cấp cho các nút truyền thông Trung tâm phân phối cung cấp thông tin cập nhật tin cậy cần thiết để xác thực thông tin nhận được từ PKI hợp pháp và được ủy quyền.Bên điều hành sẽ đăng ký các nút liên lạc và cập nhật thông tin cần thiết trong việc ủy quyền cho các thực thể.

Nỗ lực tiêu chuẩn hóa cho bảo mật V2X

Tiêu chuẩn bảo mật V2X

IEEE đã giới thiệu một tiêu chuẩn cho giao tiếp V2X - WAVE (truy cập không dây trong môi trường xe cộ) Phía trên ngăn xếp giao thức, các yêu cầu hiệu suấtV2X được chỉ định bởi SAE (ví dụ: trong tiêu chuẩn SAE J2945/1) được sử dụng chủ yếu ở Hoa Kỳ ETSI cũng đã phát triển các tiêu chuẩn cho giao tiếp V2X, ví

Báo cáo Bài tập lớn Thông tin Di động dụ như: ETSI-ITS (hệ thống giao thông thông minh ETSI) bao gồm kiến trúc tổng thể, ngăn xếp giao thức cũng như các yêu cầu và cơ chế bảo mật Trong phần này, chúng tôi chủ yếu tập trung vào việc tiêu chuẩn hóa WAVE / DSRC và ETSI-ITS vì chúng là những công nghệ phù hợp nhất để triển khai thực tế Hình 3.2 mô tả các ngăn xếp giao thức với các tiêu chuẩn mạng và bảo mật cốt lõi cho giao tiếp V2X ở Hoa Kỳ (SAE 2945/1) và Châu Âu (ETSI-ITS).

Hình 3.2: Cấu trúc ngăn xếp giao thức cho giao thức V2X

(a) Tại Hoa Kỳ (b) Tại châu Âu

Tiêu chuẩn SAE 2945/1 sử dụng SCMS dựa trên PKI cho bảo mật V2X Tiêu chuẩn cũng yêu cầu các cơ chế để bảo vệ quyền riêng tư: chứng chỉ được thay đổi sau một khoảng thời gian biến thiên và các mục trong tin nhắn BSM (có thể được sử dụng để xác định hay theo dõi xe) được chọn ngẫu nhiên bất cứ khi nào chứng chỉ được thay đổi Bảo mật tin nhắn V2X bị phản ảnh vởi tiêu chuẩn dịch vụ bảo mật IEEE 1609.2 xác định cấu trúc dữ liệu bảo mật, định dạng tin nhắn an toàn và xử lý các tin nhắn bảo mật đó trong nền tảng WAVE Các tính năng chính của tiêu chuẩn IEEE 1609.2 bao gồm:(a) sơ đồ liên lạc không dây giữa các thiết bị V2X và PKI; (b) các mô hình kích hoạt và thu hồi chứng chỉ và (c) đảm bảo quyền riêng tư (ví dụ: bảo quản danh tính xe / người dùng) Để biết tổng quan về tiêu chuẩn IEEE 1609.2, chúng tôi giới thiệu độc giả đến tác phẩm liên quan. Các dịch vụ bảo mật của tiêu chuẩn IEEE 1609.2 hỗ trợ các cơ chế mật mã truyền thống Dịch vụ cho tính xác thực và tính toàn vẹn của bản tin dựa trên chữ ký số Việc ký và xác minh được thực hiện bằng thuật toán chữ ký số khóa công khai Ví dụ: người gửi tính toán ra chữ ký bằng thuật toán chữ ký điện tử đường cong elip (ECDSA) và người nhận xác minh chữ ký bằng các chứng chỉ liên quan Để vận chuyển các khóa mã đối xứng, tiêu chuẩn người sử dụng sơ đồ mã hóa không đối xứng dựa trên sơ đồ mã hóa tích hợp đường cong elip (ECIES) Tiêu chuẩn cũng xác định các loại cơ quan cấp chứng chỉ (CAs), định dạng của chứng chỉ và danh sách thu hồi chứng chỉ (CRLs) Việc phân phối tất cả các chứng chỉ bảo mật (bao gồm CRLS) được thực hiện bởi SCMS.

ETSI xác định các kiến trúc mà các ứng dụng có thể sử dụng để đáp ứng các yêu cầu bảo mật của chúng Để có quyền truy cập vào cơ sở hạ tầng và dịch vụ truyền thông, trước tiên một chiếc xe liên hệ với cơ quan đăng ký (EA) và tự xác thực EA trả lời bằng một bộ chứng chỉ bút danh (để bảo vệ danh tính thực sự của chiếc xe như một biện pháp bảo mật) Các chứng chỉ này xác nhận rằng chiếc xe đáng tin cậy để hoạt động chính xác trong mạng Để yêu cầu quyền truy cập dịch vụ, chiếc xe liên hệ với cơ quan ủy quyền (AA) bằng một trong các chứng chỉ ẩn danh (đại diện cho danh tính tạm thời) Chiếc xe sau đó nhận được một bộ chứng chỉ để đáp ứng (một bộ cho mỗi dịch vụ được yêu cầu) Xe chỉ có thể truy cập một dịch vụ nếu AA cho phép nó sử dụng dịch vụ đó. Định dạng chứng chỉ ETSI cho giao tiếp V2X hiện cũng dựa trên IEEE 1609.2. Các tiêu chuẩn bảo mật ETSI-ITS được chia thành một số báo cáo / thông số kỹ thuật mô tả (a) kiến trúc và quản lý bảo mật, (b) mô hình tin cậy và quyền riêng tư, (c) lỗ hổng bảo mật và phân tích rủi ro, (d) định dạng tin nhắn và chứng chỉ và cuối cùng là (e) mô hình PKI và đối chiếu với IEEE 1609.2 Điều đáng nói là có những dịch vụ do ETSI đề xuất nhưng không được hỗ trợ đầy đủ (hoặc đang được phát triển) trong SAE/IEEE (xem Bảng 3.1) Một so sánh định tính của tiêu chuẩn IEEE 1609.2 và ETSI-ITS được trình bày trong nghiên cứu trước đó.Diễn đàn ITS tại Nhật Bản cũng cung cấp các hướng dẫn để đảm bảo bảo mậtV2X: (a) sử dụng mã hóa để xác minh tính xác thực của người gửi và tính toàn vẹn của các tin nhắn; (b) nếu khóa mật mã đã bị rò rỉ, giao thức phải cung cấp các biện pháp đối phó cần thiết để giảm thiểu tác động (và ngăn chặn sự lây lan thêm) và (c) thông tin được lưu trữ trong xe hay các RSU phải được bảo vệ.

Báo cáo Bài tập lớn Thông tin Di động

Bảng 3.1: Khả năng tương thích dịch vụ bảo mật trong ETSI và SAE/IEEE

Dịch vụ ETSI – ITS IEEE 1609.2

Quản lý phiên Bằng cách duy trì hiệp hội bảo mật

Không được hỗ trợ đầy đủ (liên kết nhanh chóng bằng cách xác định hệ thống phân cấp tin cậy)

Bảo vệ trả lời Thông báo thời gian và chèn/ xác thực số thứ tự Thông báo dấu thời gian

Xác thực đáng tin cậy Được hỗ trợ bởi xác thực dữ liệu/tham số

Hỗ trợ cơ bản (dựa trên vị trí địa lý hoặc thời gian hết hạn tin nhắn)

Báo cáo hành vi sai trái Không được hỗ trợ Không được hỗ trợ

Nỗ lực cân đối hóa các tiêu chuẩn

Có hai nhóm có nhiệm vụ cân bằng hóa (HTG) được thành lập bởi tổ chức cân bằng tiêu chuẩn quốc tế ở Hoa Kỳ và châu Âu là: (a) HTG1 - để cân đối các tiêu chuẩn an ninh (ví dụ: từ CEN, ETSI và IEEE) và thúc đẩy khả năng tương tác V2X hợp tác; (b) HTG3 – để cân đối các giao thức truyền thông Mục tiêu của các nhiệm vụ này là cung cấp phản hồi cho các SDO và xác định các lĩnh vực mà các hành động chính sách hay quy định có thể giúp cải thiện bảo mật V2X Các nỗ lực cân đối đã được hoàn thành vào năm 2013 và các báo cáo, hướng dẫn được công khai trực tuyến.

Các mối đe dọa bảo mật đối với các hệ thống V2X phụ thuộc vào khả năng và phương pháp của kẻ tấn công có sẵn để truy cập mục tiêu(ví dụ: phương tiện,RSU và các kênh truyền thông) Các động cơ để kẻ tấn công gây mất ổn định hệ thống V2X bao gồm: (a) động cơ gây thiệt hại vật chất hay phá hoại (ví dụ: từ chối dịch vụ, gây tai nạn, tắc nghẽn đường, v.v.); (b) các lợi ích về tài chính (ví dụ: đánh cắp thông tin cá nhân của người dùng, trích xuất tài sản trí tuệ OEM,gian lận bảo hiểm, v.v.); và (c) các lợi ích phi tiền tệ khác (ví dụ: tăng cường điều kiện giao thông của kẻ tấn công, cải thiện danh tiếng kẻ tấn công, v.v.).

Các biến thể tấn công

Các cuộc tấn công khác nhau vào các hệ thống V2X có thể là chủ động hoặc thụ động Trong trường hợp các cuộc tấn công chủ động, kẻ thù chủ động tương tác với hệ thống trong khi những kẻ tấn công thụ động sẽ nghe lén dữ liệu quan trọng (như khóa riêng, chứng chỉ, thông tin cảm biến, v.v.) mà không tương tác trực tiếp với hệ thống hay phá vỡ các hành vi bình thường Ví dụ về các cuộc tấn công thường đang xảy ra bao gồm đưa vào mã, dữ liệu sai, từ chối dịch vụ (DoS),thay đổi dữ liệu truyền (ví dụ như: giả mạo GPS, giả mạo bản tin giao dịch), v.v Trong bối cảnh V2X, các cuộc tấn công thụ động có thể đe dọa quyền riêng tư của người dùng vì có thể liên kết tin nhắn V2X và chuyển động của xe với các cá nhân Các cuộc tấn công có thể được thực hiện ngoại tuyến, những loại tấn công này thường yêu cầu truy cập vật lý vào thiết bị Ngược lại, các cuộc tấn công trực tuyến có thể được thực hiện bằng cách khai thác lỗi phần cứng, phần mềm hay giao tiếp khi hệ thống vận hành Kẻ tấn công có thể là: (i) một thành viên được xác thực của mạng được phép giao tiếp với các thành viên khác hay có quyền truy cập hệ thống từ bên trong - những kẻ tấn công này hoạt động theo giao thức cơ bản nhưng gửi thông tin sai lệch hay giả mạo hoặc (ii) kẻ tấn công có thể không có thông tin xác thực hay quyền truy cập hệ thống hợp lệ và nghe lén một cách thụ động trên giao tiếp để suy ra thông tin nhạy cảm.

Phân loại tấn công V2X

Tấn công DoS

Các cuộc tấn công từ chối dịch vụ DoS có thể xảy ra trong các lớp khác nhau của mạng, nơi kẻ tấn công sẽ gửi nhiều yêu cầu hơn khả năng xử lý của hệ thống.

Ví dụ: kẻ tấn công có thể cố gắng tắt hay phá vỡ mạng được thiết lập bởi RSU và dừng liên lạc giữa các phương tiện và RSU Trong một cuộc tấn công DoS phân tán (DDoS), các nút độc hại phát động các cuộc tấn công từ các vị trí khác nhau do đó khiến việc phát hiện trở nên khó khăn hơn Trong lớp vật lý, một loại tấn công DoS quan trọng là tấn công gây nhiễu, trong đó kẻ tấn công phá vỡ kênh giao

Hình 4.1: Các viễn cảnh tấn công có thể trong giao tiếp V2X (a) Tấn công DoS (b) Tấn công Sybil (c) Tấn công dữ liệu sai. tiếp và có thể lọc hay giới hạn các bản tin đến Gây nhiễu chỉ hoạt động tốt ở các khu vực hạn chế về mặt địa lý, tức là trong phạm vi các thiết bị không dây của kẻ tấn công Chúng tôi cũng lưu ý rằng hầu hết các cuộc tấn công gây nhiễu hay DoS ở lớp PHY (IEEE 802.11p) hoặc các băng tần khoảng 5,9 GHz luôn bị hạn chế bởi phạm vi của các kẻ tấn công và không ảnh hưởng đến thông tin liên lạc V2X ở nơi khác Cuộc tấn công gây nhiễu không đòi hỏi bất kỳ kiến thức cụ thể nào về ngữ nghĩa của các tin nhắn trao đổi Mặc dù các cuộc tấn công gây nhiễu không dành riêng cho các hệ thống V2X, nó là mối đe dọa cho bất kỳ mạng không dây nào, nhưng các cuộc tấn công như vậy có thể làm tăng độ trễ trong giao tiếp V2X và giảm độ tin cậy của mạng.

Trong lớp mạng, các cuộc tấn công DoS dựa trên định tuyến khai thác các lỗ hổng trong các giao thức kiểm soát tắc nghẽn và kẻ tấn công sẽ làm trễ hoặc hủy các gói dù không hề vi phạm bất kỳ thông số kỹ thuật nào giao thức Hủy gói là vô cùng nguy hiểm cho các ứng dụng liên quan đến an toàn - ví dụ, một chiếc xe liên quan đến tai nạn giao thông nên lan truyền thông điệp cảnh báo, nhưng các phương tiện khác có thể bị ngăn không cho nhận các tin nhắn cảnh báo này bởi một kẻ tấn công cố tình hủy hay làm bỏ lỡ các gói tin này Một biến thể khác là kẻ tấn công tuân theo các thông số kỹ thuật giao thức định tuyến nhưng lại có các hành vi sai trái một cách ngẫu nhiên không liên tục Các cuộc tấn công như vậy đòi hỏi phải theo dõi lâu dài để phát hiện ra và có thể không thể thực hiện được đối với hệ thống V2X do tính di động cao Các cuộc tấn công thác lũ gây tràn dữ liệu, kẻ tấn công tạo các gói dữ liệu không có thật và gửi cho các bên lân cận và

Tấn công Sybil

Đây là một cuộc tấn công có hại phổ biến trong các mạng phương tiện không dây Một chiếc xe sẽ giả vờ có nhiều danh tính cùng một lúc hoặc lần lượt Những kẻ tấn công Sybil cũng có thể khởi động các cuộc tấn công DoS, gây lãng phí băng thông mạng, làm mất ổn định mạng tổng thể và gây ra các mối đe dọa đối với sự

Báo cáo Bài tập lớn Thông tin Di động an toàn của người dùng Ví dụ, nếu một chiếc xe có ý đồ xấu thay đổi danh tính của nó, nó có thể sử dụng nhiều bút danh (hay mật danh) để xuất hiện như một chiếc xe khác, di chuyển hoặc làm cho con đường có biểu hiện bị tắc nghẽn (mặc dù không phải trong thực tế) và gửi thông tin không chính xác về điều kiện đường cho các phương tiện lân cận hay các RSU Kẻ tấn công Sybil cũng có thể sử dụng danh tính giả để cố ý tăng độ tin cậy của các phương tiện cụ thể hoặc ngược lại,làm giảm điểm số của các phương tiện hợp pháp.

Dữ liệu sai

Một chiếc xe lừa đảo có thể tạo ra thông báo sai lệch hoặc thông tin ước tính giao thông không chính xác (khác với thông tin trong thế giới thực) và phát nó lên mạng với ý định làm gián đoạn giao thông hoặc gây ra tai nạn, va chạm Những kẻ tấn công Sybil thể hiện sự tồn tại của chúng tại nhiều địa điểm và do đó có thể đưa ra thông tin sai lệch trong mạng Bằng cách giả mạo GPS, kẻ tấn công có thể gửi thông tin vị trí sai bằng cách sử dụng trình mô phỏng GPS và các phương tiện nạn nhân sẽ có khả năng chấp nhận những tín hiệu giả mạo được tạo ra Dữ liệu không chính xác như thông tin vị trí giả mạo có thể làm giảm hiệu quả gửi tin nhắn lên tới 90% Các nhà nghiên cứu đã chỉ ra rằng kiểm soát hành trình thích ứng hợp tác (CACC) - một trường hợp sử dụng V2X quan trọng - đặc biệt dễ bị tấn công bằng dữ liệu sai.

Một loại tấn công bằng dữ liệu sai khác là cuộc tấn công phát lại trong đó kẻ tấn công truyền lại tin nhắn để khai thác các điều kiện tại thời điểm tin nhắn gốc được gửi Ví dụ: trong phát lại dựa trên vị trí, kẻ tấn công ghi lại một tin nhắn được xác thực tại một vị trí L i, truyền nó nhanh chóng đến một vị trí L j và phát lại nó tại L j Tương tự, trong các cuộc tấn công phát lại theo thời gian, kẻ tấn công ghi lại một thông báo hợp lệ tại thời điểm t 1 và phát lại nó vào thời điểm t 2 tại cùng một vị trí Để bảo vệ khỏi tấn công phát lại, có các cơ chế như: (a) thêm các mốc thời gian trong mọi tin nhắn - ví dụ bằng cách sử dụng hệ thống vệ tinh định vị toàn cục (GNSS) hay (b) sử dụng chữ ký điện tử và bao gồm số thứ tự, v.v Các tiêu chuẩn V2X cũng cung cấp các cơ chế để bảo vệ loại tấn công này là: trễ truyền tối đa của tin nhắn một chặng sẽ cần phải được xác minh bằng các mốc thời gian; tin nhắn có mốc thời gian quá cũ (hoặc thậm chí mốc thời gian trong tương lai) sẽ được coi là không hợp lý Phát lại các cuộc tấn công trong giao tiếp V2X đa chặng có liên quan đến việc định tuyến hành vi sai trái (ví dụ: nơi kẻ tấn công có thể đi chệch khỏi giao thức định tuyến và định tuyến lại tin nhắn đến các phương tiện cụ thể hay hủy gói tin) Mặc dù các cuộc tấn công phát lại (đặc biệt là đối với truyền thông đa chặng) có thể ảnh hưởng đến thông lượng mạng, việc hỗ trợ các cơ sở hạ tầng như RSU (và trạm gốc cho C-V2X) có thể làm giảm tác động của việc hành vi sai trái trong định tuyến.

"Hành vi sai trái" thường chỉ đến những cuộc tấn công bởi thực thể độc hại có những hành động mà nó không nên thực thi khi hệ thống hoạt động Chú ý rằng điều này khác với các hành vi lỗi, là khi các nút hành động sai nhưng không có chủ đích Trong phần này, chúng tôi sẽ (a) mô tả mô hình mối đe dọa và các giả định chung về khả năng xử lý sai phạm và sau đó (b) cung cấp tóm tắt về các cơ chế phát hiện hành vi sai trái khác nhau.

Mô hình tấn công

Trong chương 2 đã đề cập đến bảo vệ mạng không dây giao tiếp V2X bằng cách sử dụng thông tin đăng nhập mật mã Ở phần này, giả định kẻ tấn công có thông tin xác thực để giao tiếp với các phương tiện khác trong mạng và có thể phân phối thông tin không có thật Ví dụ, kẻ tấn công có thể gửi thông tin sai lệch hoặc che giấu một số thông tin, giả mạo nội dung tin nhắn, tạo thông báo sai, làm sai lệch các quyết định của các phương tiện khác do gửi sai tin nhắn

Phân loại các cơ chế phát hiện và ngăn chặn hành vi sai trái

Cơ chế chủ động và cơ chế phản ứng

Hình 5.1 thể hiện các cơ chế phát hiện và năng chặn hành vi sai trái Các cơ chế này có thể đưa về 2 kiểu chính là cơ chế chủ động hoặc cơ chế phản ứng.

Bảo mật chủ động đề cập đến bất kỳ loại cơ chế thực thi chính sách bảo mật, ví dụ: sử dụng hạ tầng khóa công khai ( PKI), chữ ký số, chứng chỉ, phần cứng chống giả mạo điều này làm giảm cơ hội trao đổi thông tin không chính xác bởi các thực thể trái phép do thiếu thông tin xác thực và có thể được duy trì thông qua sự kết hợp của các cơ sở hạ tầng và phần cứng chống giả mạo Tuy các cơ chế này làm giảm tấn công bằng cách ngăn cản những kẻ tấn công từ bên ngoài, những kẻ tấn công bên trong hoàn toàn có thể tạo ra thông tin sai lệch hợp pháp Ngoài ra, nó cũng đối mặt với vấn đề quản lý phức tạp: quản lý khóa, thu hồi, thiết lập sự tin cậy trong giao tiếp đa chặng (Multi – hop communication).

Báo cáo Bài tập lớn Thông tin Di động

Hình 5.1: Các cơ chế phát hiện hành vi sai trái

Cơ chế phản ứng được thực thi khi các cuộc tấn công không thể được ngăn chặn bằng chính sách bảo mật chủ động Cơ chế phản ứng có thể được chia thành hai hướng: tập trung vào thực thể hoặc tập trung vào dữ liệu.

Các phương pháp tiếp cận lấy thực thể làm trung tâm sẽ tập trung vào việc xác định nút hoạt động sai thường dựa trên sự tin cậy ( từ hành vi/ tương tác trong quá khứ) bằng cách sử dụng khóa công khai ( PKI) hoặc theo cách sử dụng chữ ký xác minh.

Ngược lại, các phương pháp tiếp cận tập trung vào dữ liệu sẽ xác minh tính đúng đắn các dữ liệu đã nhận ( thay vì điều tra độ tin cậy của người gửi) Phương pháp tập trung vào dữ liệu cơ chế tương tự như phát hiện xâm nhập trong hệ thống máy tính truyền thống giữa thông tin nhận được với thông tin đã biết từ trước đó Phương pháp này có thể dựa trên tính hợp lý ( xác minh xem thông tin được truyền đi từ một người gửi cụ thể phù hợp với mô hình tiếp cận) hoặc có thể dựa trên tính nhất quán ( sử dụng thông tin của các gói từ nhiều người tham gia để xác minh độ tin cậy của dữ liệu mới).

Phát hiện dựa trên phạm vi

Tùy thuộc vào phạm vi, cơ chế phát hiện hành vi sai trái có thể tại:

• Cục bộ : được thực hiện tại phương tiện đó, chẳng hạn như phương tiện liên lạc của xe – OBU và không bị ảnh hưởng bởi các cơ chế phát hiện trên các phương tiện khác, hoặc trong các thiết bị bên đường - RSU)

• Kết hợp : phát hiện dựa trên sự kết hợp giữa các phương tiện với nhau / RSU

Các phương pháp tiếp cận dựa trên OBU không cần đến cơ sở hạ tầng chuyên dụng trong khi RSU thì có.

Phát hiện dựa trên hành vi và tính khả thi thường hoạt động cục bộ trong phát hiện hành vi dựa trên tính nhất quán và sự tin cậy thì hoạt động trên sự kết hợp giữa các phương tiện/ RSU.

Tổng kết

Dưới đây là bảng tổng kết các cơ chế phát hiện hành vi trái phép trong giao tiếp V2X:

Bảng 5.1: Tổng kết các cơ chế phát hiện hành vi sai trái trong giao tiếp V2X

Phòng thủ chống lại Ý tưởng Hạn chế

Hamieh et al, Lyamin et al

OBU-L Tập trung vào thực thể

Phát hiện các mẫu nhiều sóng vô tuyến để phân biệt các trường hợp gây nhiễu và các tình huống

Không thể nhận dạng kẻ tấn công

Tập trung vào thực thể

DoS(flooding- tràn gói, tài nguyên cạn kiệt)

Sử dụng các cặp khóa ngắn hạn

Chi phí trao đổi tin nhắn bổ sung

Studer et al RSU Tập trung vào thực thể

DoS( tài nguyên cạn kiệt)

Sử dụng xác thực, cơ chế xác thực thay thế với yêu cầu về bộ nhớ/ tính toán bị giảm

Tăng độ trễ giao tiếp

Báo cáo Bài tập lớn Thông tin Di động

Hortelano et al, Dacinabi et al.

Tập trung vào thực thể

DoS(thả gói độc hại/ chuyển tiếp)

Dự đoán hành vi của vật xung quanh bằng cách sử dụng cơ quan giám sát

Không có thảo luận về quyền riêng tư và chỉ phát hiện chuyển tiếp gói độc hại

Verma et al RSU Tập trung vào thực thể

Giám sát mẫu trao đổi tin nhắn

Thiếu khả năng mở rộng

Biswas et al RSU Tập trung vào thực thể

Ngẫu nhiên hóa lịch trình tin nhắn của RSU

Không hoạt động nếu kẻ tấn công tái tạo lịch biểu ngẫu nhiên

Tập trung vào thực thể

Giới hạn số lượng tin nhắn đã nhận được chấp nhận bằng cách tính điểm tin cậy

Thiếu triển khai chi tiết và đánh giá hiệu suất

Tập trung vào thực thể và dữ liệu

Xác minh dữ liệu dựa trên sự tin cậy và cơ chế định tuyến để loại bỏ các phương tiện đang chạy sai

Kẻ tấn công lén lút có thể vượt quan các cơ chế phát hiện

Grover et al OBU-C Tập trung vào dữ liệu

So sánh vật thể xung quanh của một số phương tiện theo thời gian

Các lỗi giả có thể xảy ra, không có biện pháp ngăn chặn các cuộc tấn công Sybil ngắn hạn

Hao et al OBU-C Tập trung vào dữ liệu

Sử dụng mối tương quan của các vết tích di động để xác định các nút Sybil

Có thể không phát hiện nhiều kẻ tấn công Sybil

Golle et al OBU-C Tập trung vào dữ liệu

So sánh dữ liệu đã phục hồi với một mô hình dự kiến

Yêu cầu một mô hình phù hợp để so sánh , không xác thực hoặc kiểm tra hiệu suất được thực hiện

Yao et al OBU-L Tập trung vào dữ liệu

Liên kết các nút Sybil thông qua đặc điểm vật lý

Không khả thi với lỗi GPS, có thể bị lỗi nếu kẻ tấn công sử dụng đa biểu đồ

Tập trung vào dữ liệu

Theo dõi và so sánh các thông báo với một mô hình hành vi dự kiến để phân tích xem các sự kiện như vậy có thực sự xảy ra hay không

Không có xác nhận hoặc kiểm tra hiệu suất, các giả định không thực tế

Tập trung vào thực thể

Phân tích cường độ tín hiệu của các báo hiệu nhận được

Không có cách nào để xác minh hành vi của phương tiện

Báo cáo Bài tập lớn Thông tin Di động

Sowattana et al OBU-C Tập trung vào thực thể

Phân tích tính hợp lệ của báo hiệu đã nhận và tạo ra điểm tin cậy (của một phương pháp đã cho) thông qua cơ chế bỏ phiếu

Bản thân cơ chế bỏ phiếu có thể dễ bị tấn công bởi Sybil

Tập trung vào thực thể

Quan sát sự giống nhau của quỹ đạo chuyển động

Có thể không phát hiện chính xác cho tất cả các tình huống (ví dụ: khi có hai phương tiện đến từ các hướng khác nhau)

Zhou et al RSU Tập trung vào thực thể

Liên kết các bút danh với các giá trị chung bằng cách sử dụng hàm băm

Không bảo vệ quyền riêng tư cho bộ phân trung tâm

Hamed et al RSU Tập trung vào thực thể

Giám sát mô hình di chuyển của các phương tiện

Tìm ngưỡng phát hiện phù hợp, tăng lỗi xác thực / từ chối

Tập trung vào thực thể

Trao đổi chữ ký điện tử (do RSU cấp theo chu kỳ) giữa các phương tiện lân cận và so sánh nó với quỹ đạo tham chiếu

Dễ mắc lỗi xác thực, chi phí cao, không quan tâm đến quyền riêng tư của xe

Tập trung vào thực thể

Quan sát sự giống nhau của quỹ đạo chuyển động

Mắc lỗi xác thực, chỉ dành riêng cho mạng lưới đô thị

RSU Tập trung vào thực thể

Sử dụng chứng chỉ dựa trên khóa hoặc PKI / CA để so sánh các tin nhắn trả lời nhận được từ RSU

Chi phí trao đổi thông tin bổ sung (tức là giảm thông lượng)

Tập trung vào thực thể

Sử dụng khóa công khai ngắn hạn và bút danh

Có thể bị sập nếu

RSU / OBU bị xâm phạm

Tập trung vào thực thể

Sử dụng các chứng chỉ cụ thể và hạn chế sử dụng được bảo vệ bằng mật mã của thông tin đăng nhập

Tính toán bổ sung / chi phí giao tiếp

Tập trung vào thực thể

Thông báo sự kiện sai

Lọc thông báo dựa trên thông tin cảm biến cục bộ và dữ liệu sự kiện cụ thể Ứng dụng cụ thể và phụ thuộc vào các vị trí đã xác minh

OBU-C Tập trung vào thực thể

Thông báo sự kiện sai

Xác định tính đúng đắn của các báo cáo sự kiện thông qua biểu quyết / đồng thuận

Mô hình kẻ tấn công yếu, các cuộc tấn công Sybil dễ bị tấn công

Báo cáo Bài tập lớn Thông tin Di động

Ghosh et al OBU-L Tập trung vào dữ liệu

Thông báo sự kiện sai

Tương quan hành vi sắp xảy ra với các sự kiện trong quá khứ

Yêu cầu hành vi trình điều khiển cụ thể để xác thực (có thể xảy ra lỗi xác thực/ từ chối)

Tập trung vào dữ liệu Đưa vào dữ liệu sai

Xây dựng uy tín thông qua đánh giá hành vi của phương tiện không có kiểm tra hiệu suất

Tập trung vào thực thể Đưa vào dữ liệu sai

Giám sát hành vi của phương tiện bằng cách ghi nhật ký truyền tin nhắn

Yêu cầu cơ chế nhận dạng bản gốc phải xác thực mạnh mẽ

Lo et al OBU-L Tập trung vào dữ liệu Đưa vào dữ liệu sai

Giám sát các giá trị cảm biến / thông báo đã nhận và đảm bảo tính hợp lệ bằng cách sử dụng cơ sở dữ liệu quy tắc

Chia sẻ cơ sở dữ liệu tắc có thể làm rò rỉ thông tin cho những kẻ tấn công

Vora et al RSU Tập trung vào thực thể

Thực hiện xác minh vị trí bằng nhiều RSU ’xác minh’

Dễ bị tấn công có chủ đích

Yan et al OBU-C Tập trung vào dữ liệu

Kiểm tra tính nhất quán của thông báo từ nhiều nguồn (ví dụ: radar trên bo mạch, dữ liệu lưu lượng đến, v.v.)

Hiệu suất cao, thiếu sự riêng tư

Stubing et al., Jaeger et al.

OBU-L Tập trung vào dữ liệu

Phân tích chuỗi tin nhắn CAM và theo dõi các phương tiện Đắt tiền, khả năng vi phạm quyền riêng tư

Tập trung vào dữ liệu

Xác minh vị trí bằng cách sử dụng các đặc tính vật lý (ví dụ: phép đo tốc độ Doppler, tốc độ ánh sáng , v.v.)

Yêu cầu bổ sung phần cứng, có khả năng xảy ra các cuộc tấn công phát lại

Leinmuller et al OBU-C Tập trung vào dữ liệu

Xác minh các vị trí bằng cách:

(a) loại bỏ các gói nếu khoảng cách xa hơn , (b) hợp tác trao đổi thông tin vị trí (c) bao gồm kiểm tra bổ sung

Khả năng phát hiện hạn chế

Studer et al OBU-L Tập trung vào dữ liệu

GPS Ước tính vị trí hiện tại dựa trên các tính toán trước đó

Có thể gây ra lỗi gần đúng

Zaidi et al OBU-L Tập trung vào dữ liệu Đưa vào dữ liệu sai, tấn công Sybil

Thực hiện phân tích thống kê để phân tích luồng lưu lượng

Kịch bản ứng dụng hạn chế, kẻ tấn công lén lút có thể vẫn không bị phát hiện

Rawat et al OBU-L Tập trung vào thực thể Đưa vào dữ liệu sai

Dự đoán hành vi của phương tiện bằng cách sử dụng logic Bayes

Các lỗi phân loại tiềm ẩn,khó có được các thông số

Báo cáo Bài tập lớn Thông tin Di động

Tập trung cả vào thực thể, dữ liệu Đưa vào dữ liệu sai

Thu thập hành vi của phương tiện theo điểm tin cậy cục bộ và toàn cục

Có thể không hoạt động tốt nếu hành vi đối thủ thay đổi động

Moore et al OBU-C Tập trung vào thực thể Đưa vào dữ liệu sai

Tìm độ lệch so với hành vi bình thường / trung bình

Dễ bị tấn công Sybil, có khả năng mắc lỗi xác thực

Tập trung vào thực thể Đưa vào dữ liệu sai

Xóa những người trong cuộccó hành vi sai khỏi phân tích cục bộ và toàn cục

Dễ bị tấn công bởi Sybil

Giải thích: Các thuật ngữ OBU-L, OBU-C, OBU-L/C thể hiện việc OBU của xe có thực hiện các quyết định hay không:

• OBU-L: cục bộ ( tại chính phương tiện đó)

• OBU-C: tham gia của các phương tiện lân cận

• OBU-L/C: sự kết hợp cả hai

TẤN CÔNG DOS VÀ SYBIL Ở phần này, bài báo trình bày giải pháp phát hiện tấn công DOS và đề cập một số phương pháp tiếp cận khác nhau để phát hiện tấn công Sybil

Phát hiện và Giảm thiểu DoS

Do tấn công DoS có thể được có thể diễn ra ở các lớp khác nhau nên có nhiều cách khác nhau để phát hiện và giảm thiểu ảnh hưởng của các cuộc tấn công Các cuộc tấn công DoS dựa trên gây nhiễu có thể được phát hiện bằng các cơ chế hành vi - ví dụ: bằng cách phân tích các dạng nhiễu sóng vô tuyến cũng như bằng cách sử dụng phân tích lưu lượng mạng thống kê và các phương pháp khai thác dữ liệu. Khả năng những kẻ tấn công (bên ngoài) xâm nhập hay phá vỡ hệ thống cũng có thể được giảm bớt bằng cách sử dụng các khóa công khai - bí mật trong thời gian ngắn với hàm băm Có đề xuất sử dụng quy trình xác thực trước khi xác minh chữ ký để ngăn chặn các cuộc tấn công DoS chống lại xác thực dựa trên chữ ký (nơi những kẻ tấn công phát đi các thông điệp giả mạo với chữ ký không hợp lệ - dẫn đến việc xác minh chữ ký không cần thiết) Các nhà nghiên cứu cũng đề xuất các giải pháp thay thế cho chữ ký điện tử - một phương pháp xác thực mới (gọi là Tesla ++) giúp giảm yêu cầu bộ nhớ ở người nhận để xác thực và có thể được sử dụng để hạn chế nguy cơ cạn kiệt tài nguyên (ví dụ: bộ nhớ) Nhược điểm của các giao thức này là độ trễ cao giữa việc gửi tin nhắn đến và xác thực tin nhắn.

Sự thực là việc định tuyến trong V2X có thể dự đoán được và chuẩn hóa, các cuộc tấn công DoS ở lớp mạng như hủy gói tin có thể được phát hiện bởi các cơ chế giám sát trong đó mỗi phương tiện sử dụng ý tưởng về mức độ tin cậy của thiết bị lân cận (được xác định bằng tỷ lệ các gói được gửi đến hàng xóm và các gói được chuyển tiếp bởi thiết bị lân cận) Các gói tin có thể không được chuyển tiếp do có xung đột hay cuộc tấn công Nếu một chiếc xe liên tục mất các gói tin (cho đến khi vượt quá ngưỡng cho phép), chiếc xe đó được coi là độc hại - mặc dù kết quả đánh giá cho thấy rằng rất khó để tìm ra ngưỡng chung (ví dụ: để quyết định khi nào hành vi sai trái được phát hiện) Có thể ngăn chặn việc hủy hay sao chép gói tin bằng cách giám sát dựa trên phân cụm trong đó một nhóm phương tiện trong một cụm (được gọi là người xác minh) giám sát hành vi của một phương tiện (mới tham gia) Các phương tiện có hiệu suất kém sẽ bị cơ quan cấp giấy chứng nhận (CA) chặn và được thông báo cho các phương tiện khác.

Tồn tại các cơ chế để phát hiện các cuộc tấn công DoS thác lũ bằng cách

Báo cáo Bài tập lớn Thông tin Di động quan sát các mô hình truy cập kênh - ví dụ: bằng cách tạo ra một mức thích ứng (thể hiện tốc độ tin nhắn tối đa mà bất kỳ phương tiện nào có thể gửi đối với các phương tiện khác) Cách tiếp cận này có thể không mở rộng được cho các trường hợp sử dụng chung vì mô hình được thiết kế cho các phương tiện giao tiếp với một RSU duy nhất Các cơ chế hỗ trợ cơ sở hạ tầng tương tự có thể ngăn chặn các cuộc tấn công DoS bằng cách: (a) giám sát các bản tin V2X (kiểm tra số lượng các gói tin chưa được xử lý với một ngưỡng được xác định trước trong một khoảng thời gian nhất định); hoặc (b) bằng cách sử dụng quy tắc đánh dấu tin nhắn trong đó các gói được đánh dấu bởi các bộ định tuyến biên (chẳng hạn như RSU) và nếu các IP của người gửi bị phát hiện là độc hại, một cảnh báo sẽ được gửi đến các phương tiện khác Nghiên cứu gần đây đã đề xuất ngẫu nhiên hóa lịch trình truyền gói RSU và sửa đổi các sơ đồ kiểm soát tắc nghẽn để giảm thiểu các cuộc tấn công DoS hay DDoS thác lũ Làm tràn bản tin cũng có thể được phát hiện bằng các cơ chế dựa trên sự tin cậy, đề xuất tính toán giá trị tin cậy của các phương tiện có thể giới hạn số lượng tin nhắn đã nhận được chấp nhận từ những người hàng xóm

- nếu vượt quá một ngưỡng nhất định, một báo cáo được gửi đến đơn vị đáng tin cậy, chẳng hạn như cơ quan quản lý hành vi (MA), để vô hiệu hóa kẻ tấn công.Khung TFDD có thể phát hiện các cuộc tấn công DoS và DDoS theo cách phân tán bằng cách thiết lập lòng tin giữa các phương tiện Mỗi phương tiện duy trì các thông số cục bộ và toàn cục (ví dụ: id hàng xóm, bộ đếm tin nhắn khác nhau,điểm tin cậy) để bao gồm hay loại trừ hàng xóm khỏi danh sách đen cục bộ hoặc toàn cục Một phương tiện nằm trong danh sách đen toàn cục có thể bị cơ quan đáng tin cậy đình chỉ hoạt động mạng Cơ chế được đề xuất có thể không hoạt động đối với kẻ tấn công thông minh, lén lút có hành vi độc hại có thể không ổn định trong suốt thời gian.

Phát hiện tấn công Sybil

Phát hiện tấn công Sybil không có sự hỗ trợ của cơ sở hạ tầng 28

Có đề xuất rằng danh tính giả của kẻ tấn công phải luôn ở cùng vùng lân cận (để kiểm soát tốt hơn các nút độc hại) và đề xuất phát hiện bằng cách so sánh các bảng của một số phương tiện lân cận theo thời gian Đề án này không bảo vệ chống lại các cuộc tấn công Sybil có thời gian ngắn Chi phí liên lạc và độ trễ phát hiện cao, và một số tình huống nhất định (ví dụ: tắc đường) có thể làm tăng độ trễ phát hiện hoặc xác thực sai.

Có đề xuất một giao thức hợp tác sử dụng chữ ký nhóm (để bảo vệ quyền riêng tư) và mối tương quan truy dấu vết di động Ý tưởng chính là các phương tiện xung quanh kẻ tấn công có thể thông báo cho người khác bằng cách phát các thông điệp cảnh báo với chữ ký một phần của họ - một chữ ký hoàn chỉnh có thể được tạo ra và do đó kẻ tấn công được xác định khi số lượng phương tiện báo cáo bất thường đạt đến ngưỡng Giao thức không được xác minh cho trường hợp nhiều kẻ tấn công Sybil.

Một cách tiếp cận dựa trên mô hình, dựa trên xác minh vị trí, trong đó mỗi nút chứa một mô hình của mạng và kiểm tra tính hợp lệ của dữ liệu nhận được bằng các cảm biến (camera, hồng ngoại và radar) Dữ liệu thu thập từ các cảm biến có thể được sử dụng để phân biệt giữa các nút Sau đó, có thể phát hiện sự không nhất quán (tức là trong trường hợp tấn công Sybil), dựa trên cơ chế heuristic được đề xuất, bằng cách so sánh dữ liệu nhận được với mô hình Ví dụ: sử dụng camera đọc và trao đổi dữ liệu thông qua quang phổ ánh sáng, một chiếc xe có thể xác minh xem vị trí đã xác nhận có đúng hay không Như vậy, người ta có thể xác định được sự tồn tại thực sự của chiếc xe Tuy nhiên, nhìn chung rất khó để có được một mô hình chung của mạng V2X do tính chất động lực học và phương pháp đề xuất được thiết kế bằng cách chỉ xem xét các điều kiện đường có mật độ cao (nghĩa là có thể không hoạt động tốt đối với các tình huống mật độ thấp hoặc đường có mật độ phương tiện giao thông thay đổi theo thời gian).

Các nhà nghiên cứu cũng đề xuất việc xác định các vị trí bị giả mạo bằng cách khai thác các đặc tính của kênh, chẳng hạn, bằng cách phân tích phân bố cường độ tín hiệu hoặc bằng cách quan sát các phép đo RSSI (chỉ báo cường độ tín hiệu nhận được) Phương pháp tiếp cận này sẽ phân tích các đặc tính của lớp vật lý với giả định rằng ăng-ten, tăng ích và công suất truyền là cố định và được tất cả các phương tiện trong mạng biết đến Các tác giả sử dụng cường độ tín hiệu nhận được để xác định khoảng cách gần đúng tới người gửi và xác minh thêm vị trí GPS được truyền Một ý tưởng tương tự cũng được sử dụng để xác minh các vị trí bằng cách tìm mối liên hệ giữa vị trí, thời gian và thời lượng truyền (đối với cả bản tin báo hiệu và sự kiện) Phương pháp xác thực sau sự kiện sẽ xác minh các thông báo sự kiện cụ thể (bằng cách phân tích thông báo từ các phương tiện khác) và cơ chế thay đổi bút danh cũng được áp dụng khi một sự kiện được phát hiện là có hại (ví dụ: được phát hiện do thiếu các bản tin báo hiệu tiếp theo từ cùng một nguồn).Tuy nhiên, kế hoạch này có thể bị lợi dụng để thu hồi các phương tiện hợp pháp bởi kẻ tấn công có khả năng gây nhiễu (vì chúng dựa trên đặc tính tín hiệu lớp vật lý) Nghiên cứu trước cũng không tính đến lỗi GPS trong mô hình Một cơ chế phân tán, Voiceprint, đã được đề xuất để phát hiện các cuộc tấn công Sybil bằng cách phân tích các phép đo dựa trên RSSI (ví dụ: bằng cách thực hiện các phép đo tương tự giữa RSSI của kẻ tấn công và các nút Sybil của nó theo thời gian) Tuy nhiên, Voiceprint có thể không phát hiện ra các cuộc tấn công nếu kẻ thù sử dụng

Báo cáo Bài tập lớn Thông tin Di động

Phát hiện Sybil hỗ trợ bởi RSU

Có một số cơ chế là sử dụng cơ quan tập trung (ví dụ: RSU) để phát hiện các nút Sybil Một nghiên cứu trước đó xác minh các vị trí đã xác nhận bằng cách sử dụng các chỉ số cường độ tín hiệu trong đó các phương tiện được chỉ định thành ba vai trò:

• Bên yêu cầu: phương tiện yêu cầu vị trí bằng cách sử dụng tin báo hiệu

• Nhân chứng: một nút nhận được tin báo hiệu và đo lường mức độ lân cận của nó bằng cách sử dụng cường độ tín hiệu sau đó được truyền đi trong các đèn hiệu tiếp theo

• Bên xác minh: phương tiện thu thập các phép đo cường độ tín hiệu để ước tính và xác minh vị trí của phương tiện

RSU đưa ra chữ ký của các phương tiện ở gần chúng tại một thời điểm cụ thể cùng với hướng lái xe Khi nhận được thông báo báo hiệu, bên xác minh đợi trong một khoảng thời gian (để thu thập các phép đo trước đó của người yêu cầu bồi thường từ nhân chứng) và tính toán vị trí ước tính của bên yêu cầu từ các nhân chứng Một ý tưởng tương tự cũng được sử dụng trong sơ đồ phát hiện Sybil dựa trên sự đồng thuận: mỗi người nhận xác nhận tính hợp lệ của các báo hiệu đã nhận bằng phạm vi truyền của các vùng lân cận đó và tạo ra điểm tin cậy bằng cách bỏ phiếu Tuy nhiên, bản thân quá trình bỏ phiếu rất dễ bị tấn công.

Các nhà nghiên cứu cũng đề xuất sử dụng mốc thời gian tin nhắn (ví dụ: để tìm quỹ đạo và thời gian gần đây của mỗi chiếc xe) để phát hiện Sybil không yêu cầu bất kỳ PKI nào Trước khi gửi bất kỳ tin nhắn nào, trước tiên xe nhận được mốc thời gian cho tin nhắn từ RSU gần đó Nếu một phương tiện nhận được chuỗi mốc thời gian tương tự từ các RSU giống nhau trong một khoảng thời gian nhất định thì phương tiện đó được coi là nút Sybil Tuy nhiên, hai phương tiện đến từ các hướng ngược nhau có thể bị coi nhầm là nút Sybil vì chúng sẽ nhận được mốc thời gian tương tự trong một khoảng thời gian ngắn Mô hình P 2 DAP phát hiện các cuộc tấn công Sybil bằng cách xác định các phương tiện có các bút danh khác nhau và đề xuất một liên kết vốn có giữa các bút danh dựa trên các hàm băm.

Ví dụ: một tin nhắn được coi là độc hại nếu bộ thông tin (thời gian, địa điểm, loại sự kiện), được ký bởi cùng một phương tiện với các bút danh khác nhau Các RSU (bán tin cậy) chịu trách nhiệm kiểm tra các thông báo liên kết và báo cáo nó cho cơ quan trung ương có thể giải quyết vấn đề biệt danh Tuy nhiên, khả năng liên kết các bút danh tùy ý có thể là một vấn đề về quyền riêng tư Mức độ chi tiết về thời gian và không gian cũng như các loại sự kiện cần được chuẩn hóa và cơ quan quản lý trung tâm cũng yêu cầu phải có kiến thức đầy đủ về mạng Kiến trúc tương tự đã được sử dụng, đưa ra thực tế là hai xe có thể không vượt qua nhiều RSU cùng một lúc Cũng có đề xuất phát hiện các nút Sybil bằng cách giám sát các mô hình di chuyển của các phương tiện Lược đồ này yêu cầu một cái nhìn toàn cục về mạng và việc ước tính ngưỡng phát hiện thích hợp cũng không đơn giản dẫn đến xác định sai.

Một bài báo xác định rằng các nút Sybil xuất phát từ cùng một phương tiện sẽ luôn có quỹ đạo giống nhau theo thời gian Với nhận định này, một giao thức mới sử dụng các chữ ký đặc biệt (thu được từ các RSU) có thể được sử dụng để xây dựng quỹ đạo tham chiếu Những nhận dạng có quỹ đạo giống hệt nhau gần đây được coi là cùng một phương tiện do đó giảm thiểu ảnh hưởng của các cuộc tấn công Sybil Tuy nhiên, có những hạn chế thực tế: (a) chi phí băng thông cho việc trao đổi chữ ký; (b) khả năng tiềm ẩn của các cuộc tấn công DoS - vì mỗi yêu cầu đòi hỏi phản hồi lớn hơn nhiều (ví dụ: chữ ký) và (c) vi phạm quyền riêng tư

- các phương tiện cần tiết lộ vị trí của chúng để xác minh mình không phải nút Sybil Các ý tưởng cũng được mở rộng về bảo vệ quyền riêng tư, các quỹ đạo được bảo vệ bằng mật mã (bao gồm các chữ ký đặc biệt) được yêu cầu bởi phương tiện từ RSU Các quỹ đạo của các bản tin được sử dụng như một cơ chế xác thực cho phép một phương tiện tính toán các nút Sybil (ví dụ: khi tất cả các quỹ đạo giống nhau một cách đáng ngờ đều đến từ cùng một phương tiện) Đề xuất này bảo vệ sự riêng tư của xe (ví dụ: khỏi bị theo dõi lâu dài) vì chữ ký của RSU phụ thuộc vào thời gian (và không thể đoán trước).

Một giao thức bảo vệ quyền riêng tư khác - DTSA sử dụng chứng chỉ dựa trên khóa phiên trong đó ID (duy nhất) của mỗi phương tiện được đăng ký với một máy chủ toàn cục Sau đó, các phương tiện sẽ tạo ra các ID ẩn danh được xác thực bởi một máy chủ cục bộ (và chứng chỉ cục bộ được cấp) Bất kỳ phương tiện nào nhận được đều có thể xác minh tin nhắn bằng cách so sánh danh tính thực của phương tiện kia với máy chủ cục bộ Mô hình này có thể làm giảm thông lượng mạng vì việc trao đổi chứng chỉ yêu cầu một lượng lớn dữ liệu trên mạng Các ý tưởng tương tự đã có trong nghiên cứu trước đó, chúng sử dụng PKI và CA cục bộ để phát hiện các cuộc tấn công Sybil bằng cách so sánh bản tin trả lời nhận được từ RSU Một hệ thống khác gần đây hơn là EBRS (hệ thống danh tiếng dựa trên sự kiện) đề xuất sử dụng khóa công khai ngắn hạn và các bút danh cần được xác nhận bởi cơ quan đáng tin cậy (ví dụ: bằng cách sử dụng RSU) Mặc dù EBRS có thể phát hiện các cuộc tấn công từ nhiều nguồn, nhưng khuôn khổ này có thể sụp đổ nếu các RSU hay OBU bị xâm phạm Các nhà nghiên cứu cũng đề xuất sử dụng thông tin xác thực ẩn danh (tức là một chứng chỉ cụ thể) và hạn chế sử dụng thông tin đăng nhập được bảo vệ bằng mật mã - vì người gửi chỉ được phép sử dụng một thông tin xác thực mỗi lần các nút Sybil có thể được phát hiện Tuy nhiên, chi phí hiệu suất của các phương pháp này là cao so với thuật toán ECDSA được đề xuất trong các chuẩn.

CHƯƠNG 7: KIỂM TRA TOÀN VẸN

Tính toàn vẹn của giao tiếp V2X có thể được xác minh từ 4 tiêu chí dưới đây:

• Phân tích hành vi và kiểm tra tính toàn vẹn của thông điệp

• Xác minh vị trí và tín hiệu GPS

• Phân tích và thu hồi độ tin cậy

Thẩm định sự kiện

Một nghiên cứu đề xuất một cơ chế lọc bản tin kết hợp các tham số của chúng thành một thực thể duy nhất được gọi là đường cong "độ chắc chắn của sự kiện" (CoE) CoE đại diện cho mức độ tin cậy của một tin nhắn đã nhận và được tính toán bằng cách kết hợp dữ liệu từ nhiều nguồn khác nhau như cảm biến cục bộ và RSU và bằng cách sử dụng cơ chế đồng thuận (ví dụ: tin nhắn từ các phương tiện khác và xác nhận bằng cơ sở hạ tầng, nếu có) Tính hợp lệ của bản tin được xác định bằng cách sử dụng đường cong ngưỡng và kết quả dương tính giả cho các sự kiện có thể giảm khi thu được nhiều bằng chứng hơn theo thời gian Mặc dù cơ chế được áp dụng cho ứng dụng đèn báo ngắt điện tử khẩn cấp (ví dụ: cho phép phát thông tin sự kiện phanh khẩn cấp tự tạo cho các phương tiện gần đó), nhưng vẫn chưa rõ sơ đồ này hoạt động như thế nào đối với các ứng dụng V2X chung (ví dụ như đối với nhiều làn đường và cài đặt đô thị ở đó có thể không chắc chắn về đường đi của xe) vì nó yêu cầu địa điểm cụ thể cho các sự kiện Bên cạnh đó, các cơ chế dựa trên CoE như vậy có thể dễ bị tấn công bởi Sybil tùy thuộc vào cách thu thập thông tin từ các nguồn khác.

Các nhà nghiên cứu cũng đề xuất xác định tính đúng đắn của các báo cáo sự kiện thông qua biểu quyết - ý tưởng chính là phát triển một phương pháp hiệu quả để thu thập đủ chữ ký từ số lượng nhân chứng mà không cần thêm quá nhiều băng thông trên kênh không dây Nếu nhận không đủ chữ ký, các sự kiện có thể bị bỏ qua (có thể gây ra lỗi âm tính sai) Một ý tưởng tương tự là người gửi thu thập một số nhân chứng cho mỗi sự kiện có thể xảy ra Tuy nhiên, mô hình này thực thi một định dạng thông báo cụ thể và không có bảo vệ đối với sự suy giảm, tức là kẻ tấn công có thể giảm số lượng chữ ký được đính kèm vào thông báo hay có thể ẩn các sự kiện Một cơ chế dựa trên sự đồng thuận được đề xuất trong đó mỗi phương tiện thu thập các báo cáo về cùng một sự kiện từ các phương tiện lân cận cho đến khi vượt qua một ngưỡng nhất định của các báo cáo hỗ trợ và sau đó thông báo được coi là đáng tin cậy Phương pháp được đề xuất cho phép hệ thống đưa ra quyết định trong khoảng thời gian chờ có giới hạn và do đó phù hợp với các ứng dụng ưu tiên về thời gian hay độ an toàn (ví dụ: quyết định có tin tưởng vào cảnh báo về tai nạn giao thông hay không để xe có thể giảm tốc độ hoặc chuyển làn cho phù hợp) Tương tự như các cơ chế dựa trên đa số đồng thuận, phương thức này cũng bị các Sybil tấn công. Ý tưởng về phát hiện sau sự kiện cũng có thể được sử dụng để xác thực sự kiện: ví dụ: trong các ứng dụng thông báo sau sự cố (PCN), khi một thông báo PCN được gửi, trình điều khiển sẽ điều chỉnh hành vi của họ để tránh trang web gặp sự cố và thông tin này (ví dụ: , hành vi của trình điều khiển) có thể được sử dụng để xác định liệu sự kiện có hợp lệ hay không Ý tưởng chính là sử dụng một kỹ thuật (được gọi là phân tích nguyên nhân gốc rễ) để phát hiện phần nào của thông báo sự kiện là sai (ví dụ: khi nhận được cảnh báo PCN, phương tiện sẽ phân tích hành vi của người gửi trong một thời gian và so sánh quỹ đạo thực tế và dự kiến quỹ đạo) Các phương pháp phát hiện như vậy sẽ bị ảnh hưởng nếu các mô hình hành vi của người lái xe dễ thay đổi - mặc dù đây có thể không phải là một yếu tố hạn chế đối với lái xe tự hành khi hành vi của người lái xe hợp lệ sẽ được định nghĩa rõ ràng hơn.

Phân tích hành vi và kiểm tra tính toàn vẹn của thông điệp

Giao thức VEBAS cho phép phát hiện các hành vi bất thường của phương tiện bằng cách phân tích tất cả các thông báo nhận được từ các phương tiện lân cận VEBAS sử dụng cơ chế dựa trên sự tin cậy, ví dụ: sau khi một phương tiện đã thu thập thông tin về các phương tiện xung quanh, sau đó nó sẽ phát các kết quả (ví dụ: điểm tin cậy) trong vùng lân cận xung quanh Cơ chế kiểm tra này sử dụng sự kết hợp của các cơ chế hành vi (ví dụ: tần suất gửi đèn hiệu) và các thông số vật lý như vận tốc và gia tốc để xác định tính xác thực của một tin nhắn Tuy nhiên VEBAS có thể dễ bị tấn công vì không có cơ chế xác minh tính đúng đắn của các thông điệp nhận được từ các phương tiện lân cận.

Giao thức MisDis đảm bảo trách nhiệm giải trình hành vi của phương tiện bằng cách ghi lại tất cả các thông báo (gửi / nhận) cho mỗi phương tiện trong một nhật ký an toàn Bất kỳ phương tiện nào cũng có thể yêu cầu nhật ký an toàn của phương tiện khác và xác định sự sai lệch so với hành vi dự kiến Tuy nhiên, giao thức này yêu cầu cơ chế xác thực và nhận dạng mạnh mẽ nhưng chưa bảo vệ quyền riêng tư của phương tiện Ngoài ra, các tác giả không cung cấp bất kỳ đánh giá hiệu suất của phương pháp được đề xuất Lo và cộng sự đề xuất một mạng xác thực tính hợp lý (PVN) để bảo vệ các ứng dụng V2X khỏi các cuộc tấn công dữ liệu sai (gọi là tấn công ảo) khi kẻ tấn công có thể gián tiếp thao túng các thông điệp (ví dụ: thông qua thao tác cảm biến) Ý tưởng là sử dụng cơ sở dữ liệu

Báo cáo Bài tập lớn Thông tin Di động các quy tắc (ví dụ: cơ sở dữ liệu quy tắc chỉ định liệu một thông tin nhất định có được coi là hợp lệ hay không) và mô-đun kiểm tra để kiểm tra tính hợp lý của các thông báo đã nhận Mỗi thông báo được đánh giá theo loại của nó (báo cáo tai nạn, tình trạng đường chung) và tập hợp quy tắc xác định trước tương ứng được truy xuất từ cơ sở dữ liệu quy tắc để kiểm tra giá trị của các trường phần tử thông báo (ví dụ: mốc thời gian, vận tốc) Ví dụ: tính hợp lý của trường mốc thời gian được kiểm tra bằng cách xác định giới hạn tối thiểu và tối đa, ví dụ: mốc thời gian nhận được phải sớm hơn mốc thời gian hiện tại t c của người nhận và muộn hơn sự khác biệt giữa t c và khoảng thời gian hiệu lực của thông báo Một hạn chế của phương pháp này là do cơ sở dữ liệu quy tắc được chia sẻ, một phương tiện độc hại có thể tạo ra các thông báo hợp lệ để tránh bị phát hiện.

Xác minh vị trí và tín hiệu GPS

Các nhà nghiên cứu đã sử dụng các kỹ thuật khác nhau để dự đoán vị trí và hành vi của các phương tiện (ví dụ: liệu chúng có tuân theo một hình mẫu dự kiến hay không) nhằm xác định các phương tiện độc hại Một ý tưởng là xác minh các vị trí nút bằng cách sử dụng hai bộ xác minh: bộ chấp nhận (được phân phối trên vùng) và bộ loại bỏ (đặt xung quanh bộ chấp nhận theo kiểu vòng tròn) - giả sử cho một vùng nhất định, bằng cách sử dụng nhiều RSU (bộ loại bỏ) xung quanh một RSU trung tâm (bộ chấp nhận) Nếu bộ chấp nhận nhận được thông báo lần đầu, thì nó sẽ xác minh rằng chiếc xe đó có nằm trong khu vực hay không Tuy nhiên, một phương tiện độc hại có thể giả mạo vị trí của nó khi nó cư trú trong khu vực vì giao thức không xác minh vị trí chính xác của các nút Yan đã đề xuất sử dụng radar trên phương tiện để phát hiện sự hiện diện vật lý của các phương tiện (ví dụ: cho các ứng dụng như hệ thống cảnh báo tắc nghẽn) Các phương tiện so sánh thông tin radar (ví dụ: phương tiện nào đang ở gần) với thông tin GPS nhận được từ các phương tiện khác để cô lập các nút độc hại Cơ chế này có thể ngăn chặn một số biến thể của các cuộc tấn công Sybil, ví dụ: bằng cách tính toán sự giống nhau của thông tin radar, báo cáo từ hàng xóm và báo cáo lưu lượng truy cập đang đến Tồn tại các cơ chế để xác minh các CAM đã truyền bằng cách phân tích chuỗi thông báo (ví dụ: để tìm quỹ đạo của mỗi phương tiện) Bằng cách theo dõi một chiếc xe (giả sử bằng cách sử dụng bộ lọc Kalman), người nhận có thể xác minh vị trí có trong mỗi CAM Ý tưởng này được mở rộng cho các ứng dụng có độ chính xác của bộ lọc Kalman thấp (ví dụ: đối với các tình huống di chuyển đặc biệt hoặc thay đổi làn đường) Các mô hình dựa trên chữ ký dựa trên việc kiểm tra tính hợp lý được đề xuất trong đó mỗi phương tiện được mô phỏng thành các hình chữ nhật có kích thước khác nhau (và lồng vào nhau) - các hình chữ nhật giao nhau thuộc về các phương tiện khác nhau cho biết thông tin vị trí sai Vì các kết quả đọc từ hệ thống định vị (ví dụ: GPS) có thể không chính xác,xác suất của giao nhau được tính toán bằng độ chắc chắn xâm nhập (dựa trên số lượng đường giao nhau được quan sát) và các giá trị tin cậy (ví dụ: sử dụng khái niệm di chuyển khoảng cách tối thiểu trong đó bất kỳ phương tiện V j lân cận nào xa hơn phạm vi truyền của phương tiện nhất định được coi là đáng tin cậy hơn). KhiV j giao cắt với một hàng xóm khác và sự khác biệt giữa mức độ tin cậy của cả hai phương tiện cao hơn ngưỡng xác định trước thì phương tiện kém tin cậy hơn được coi là độc hại Trong khi phương pháp này có thể phát hiện vị trí sai mặc dù có lỗi GPS, kẻ tấn công với phạm vi truyền lớn hơn (so với các phương tiện khác) có thể vượt qua cơ chế này.

Vị trí của phương tiện có thể được xác minh bằng các đặc tính vật lý như tốc độ, Doppler của tín hiệu nhận được Ý tưởng là sử dụng các phép đo góc tới (AoA) và tốc độ Doppler Khi thông tin này được kết hợp với thông tin vị trí có trong tin nhắn, lỗi ước tính (được tính bằng cách tiếp cận dựa trên bộ lọc Kalman mở rộng) sẽ không phân kỳ trừ khi phương tiện hoạt động sai bằng cách truyền thông tin vị trí sai Một cách tiếp cận khác để xác minh vị trí của xe là giới hạn khoảng cách

- một kỹ thuật để ước tính khoảng cách bằng cách sử dụng các đặc điểm vật lý như tốc độ ánh sáng Vì ánh sáng di chuyển với tốc độ hữu hạn, một thực thể (ví dụ: RSU hoặc phương tiện khác) có thể đo thời gian (khứ hồi) để nhận tin nhắn và xác định giới hạn trên trên quãng đường xe Bằng cách sử dụng cơ chế giới hạn khoảng cách, Hubaux cho thấy rằng RSU có thể xác minh vị trí của xe khi: (i) 3 RSU được định vị để tạo thành hình tam giác (đối với mặt phẳng hai chiều) hoặc (ii) bốn RSU tạo thành hình chóp tam giác (đối với mặt phẳng ba chiều) Theo một hướng tương tự, các nhà nghiên cứu đề xuất một cơ chế lấy dữ liệu làm trung tâm để xác minh thông tin vị trí sai bằng cách sử dụng dấu thời gian Ví dụ: khi thông tin vị trí L i (tại thời gian t i) được một phương tiện (đặt tại L j) nhận được tại thời điểmt j > t i , người nhận có thể xác minh tính đúng đắn của thông tin này bằng cách sử dụng vị trí, tốc độ ánh sáng và sự khác biệt giữa các mốc thời gian. Một phương tiện độc hại không thể sửa đổi dấu thời gian (ví dụ:t i ) vì vị trí chính xác giữa kẻ tấn công với phương tiện nhận là không xác định Khi một vị trí sai được phát hiện, bộ thu sẽ truyền thông tin này đến các phương tiện khác (và có thể cho CA thông qua RSU).

Kẻ tấn công có thể gửi phản hồi chậm tới từng RSU (ví dụ: bằng cách sử dụng ăng-ten được định hướng) Một phương pháp xác thực vị trí dựa trên độ tin tưởng khác được đề xuất là phương tiện sẽ xóa gói khi gói đó chứa thông tin về vị trí mà xa hơn vị trí ngưỡi tối đã được định nghĩa Vì người nhận đánh giá các quan sát bất thường một cách tiêu cực (ví dụ: mức độ tin cậy của người gửi bị ảnh hưởng nhiều hơn bởi các quan sát bất thường), nên sau khi gửi một gói thông tin không có thật, một phương tiện (độc hại) được yêu cầu gửi các gói thông tin chính xác để lấy lại mức độ tin cậy trước đó Các ý tưởng tương tự có thể được sử dụng bằng cách trao đổi các bản tin báo hiệu vị trí giữa các hàng xóm, tức là các báo hiệu nhận được từ các hàng xóm được kiểm tra với các bảng hàng xóm đã nhận bằng

Báo cáo Bài tập lớn Thông tin Di động cách so sánh các vị trí (đã xác nhận) cho một nút cụ thể trong báo hiệu và bảng. Các cơ chế này có thể được cải thiện bằng cách (i) bỏ qua các báo hiệu khác khi có quá nhiều báo hiệu được gửi từ một khu vực (ví dụ: để hạn chế tác động của cuộc tấn công Sybil tiềm ẩn) (ii) xác minh dựa trên bản đồ (ví dụ: bằng cách gán giá trị hợp lý cho các báo hiệu nhận được bằng cách so sánh vị trí với bản đồ đường đi) và (iii) nghe lén xác nhận quyền sở hữu vị trí (ví dụ, đối với các tình huống định tuyến địa lý bằng cách so sánh các gói nghe lén khác nhau và các điểm đến tương ứng có thể cung cấp dấu hiệu về vị trí sai trong quá khứ) Tuy nhiên, tất cả các kiểm tra này có thể không hoạt động tốt khi riêng lẻ.

Có các cơ chế để phát hiện giả mạo GPS bằng cách tính toán chết, ví dụ, trong đó vị trí hiện tại được tính bằng cách sử dụng vị trí đã xác định trước đó và tốc độ đã biết (hoặc ước tính) trong thời gian trôi qua Mặc dù phương pháp này có thể phát hiện thông tin GPS giả mạo, nhưng vị trí được tính toán chỉ là giá trị gần đúng Để biết chi tiết về các biện pháp đối phó giả mạo GPS và các đề xuất gần đây, chúng tôi giới thiệu người đọc đến các nghiên cứu liên quan khác.

Phân tích độ tin cậy và thu hồi

Các nhà nghiên cứu cũng đã đề xuất các cơ chế như phân tích thống kê và biểu quyết rõ ràng để quyết định độ tin cậy của phương tiện Zaidi và cộng sự.

[126] sử dụng các kỹ thuật thống kê để dự đoán và giải thích các xu hướng trong dòng lưu lượng và xác định xem người gửi có độc hại hay không Mỗi phương tiện

V i ước tính thông số lưu lượng F i của riêng mình (tương tự đối với các phương tiện ở gần V i) bằng cách sử dụng một mô hình (sử dụng mật độ phương tiện và tốc độ trung bình của các phương tiện khác trong vùng lân cận) Các phương tiện trao đổi thông số lưu lượng, giá trị mật độ, tốc độ và thông tin vị trí của riêng chúng Đối với mỗi tin nhắn nhận được, các phương tiện so sánh giá trị trung bình của các thông số nhận được với các thông số được tính toán của chính nó - nếu sự khác biệt thấp hơn ngưỡng xác định trước thì tin nhắn được chấp nhận; nếu không, hành vi của người gửi sẽ được giám sát (tức là chỉ chấp nhận các thư cho đến khi đủ để thực hiện kiểm tra thống kê) Sau đó, phương tiện độc hại sẽ được báo cáo với các phương tiện khác và cách ly khỏi hệ thống mạng Tuy nhiên, kẻ tấn công lén lút (thao túng các giá trị từ từ) có thể vẫn không bị phát hiện Một cách tiếp cận sử dụng logic Bayes đã đề xuất để tính toán "xác suất độc hại" của một chiếc xe trong thời gian t, dựa trên một số quan sát O t Ý tưởng dựa trên lý luận Bayes, tức là, tính toán xác suất chiếc xe bị độc hại với O t cho trước (ví dụ:bằng cách áp dụng định lý Bayes) Lược đồ này yêu cầu kiến thức nền về xác suất tiếp nhận một thông báo cụ thể và các tác giả không chỉ rõ cách thu được các xác suất có điều kiện này cho các trường hợp sử dụng V2X chung Mô hình T-VNets đánh giá hai tham số tin cậy:

(a) độ tin cậy can thiệp (ví dụ: bằng cách kết hợp đánh giá tập trung vào dữ liệu về các thông báo nhận được từ mỗi người hàng xóm)

(b) độ tin cậy giữa RSU và phương tiện (được xây dựng bằng cách thu thập báo cáo từ các các hành vi của láng giềng của họ - để xây dựng một giá trị lịch sử và niềm tin khu vực gần như toàn cục).

Các tác giả đề xuất trao đổi định kỳ các giá trị tin cậy toàn cục bằng cách bổ sung thêm các trường mới vào thông điệp CAM Bên cạnh đó, DENM được sử dụng để tính toán động độ tin cậy cho các sự kiện cụ thể (ví dụ: rủi ro trên đường)

- các sự kiện có giá trị độ tin cậy thấp hơn ngưỡng xác định trước sẽ không được phương tiện phát đi Tuy nhiên, các tác giả cho rằng những kẻ tấn công luôn luôn và liên tục thể hiện hành vi không trung thực trong suốt thời gian và điều đó có thể không đúng trong thực tế.

Raya và cộng sự [71] đề xuất LEAVE (trục xuất cục bộ những kẻ tấn công bằng cách bỏ phiếu đánh giá): một phép đo dựa trên entropy với phân cụm k- means để phát hiện hàng xóm nào khác biệt với những người hàng xóm khác (ví dụ: một chiếc xe hoạt động sai) - giả sử nếu thông tin tốc độ cao nhận được từ một phương tiện lân cận (độc hại) trái ngược với thông báo từ phần lớn các phương tiện (ví dụ: về tình huống tắc đường) thì phương tiện độc hại sẽ được phát hiện. Các phương tiện trao đổi ‘cáo buộc’ về những kẻ tấn công tiềm năng và phương tiện độc hại có thể bị trục xuất tạm thời (bằng cách thu hồi chứng chỉ của nó) Ưu điểm cốt lõi của LEAVE là độ trễ phát hiện giảm (vì độ tin cậy của phương tiện không cần phải được xây dựng theo thời gian) Một ý tưởng tương tự cũng được đề xuất, Stinger, trong đó cả bên báo cáo cũng như các phương tiện bị báo cáo đều tạm thời bị cấm gửi tin nhắn Cả hai giao thức LEAVE và Stinger đều yêu cầu đa số trung thực - nếu tồn tại quá nhiều phương tiện lân cận bị xâm phạm thì chúng có thể thể hiện các hành vi độc hại như bình thường (ví dụ: dễ bị tấn công Sybil). Zhuo đã đề xuất một cơ chế trục xuất hợp tác tại cục bộ và toàn cục: SLEP (một cơ chế được gọi là trục xuất dựa trên tự sát được thiết kế để ngăn chặn các cáo buộc sai sự thật) và PRP (sử dụng mức độ tin cậy của mỗi người tố cáo để quyết định hủy bỏ vĩnh viễn) tương ứng, để loại bỏ các phương tiện hoạt động sai quy định Ý tưởng cơ bản là nếu một chiếc xe có thể phát hiện ra các thông báo không có thật (giả sử bằng cách so sánh thông tin cảm biến trên tàu về sự kiện), nó sẽ phát đi một thông báo cáo buộc phương tiện tấn công tiềm năng (và các phương tiện lân cận sau đó sẽ bỏ qua các tin nhắn từ xe bị buộc tội) Ngược lại với công việc khác, một phương tiện có thể sử dụng bút danh (tức là để bảo vệ quyền riêng tư) và có thể tham gia lại mạng sau khi buộc tội thành công Các hạn chế của các mô hình thu hồi hiện có bao gồm

(a) Chúng giả định rằng đại đa số sẽ trả lời trung thực, vậy nên nếu kẻ tấn công

Báo cáo Bài tập lớn Thông tin Di động công Sybil) thì có thể tạo ra các cáo buộc sai (và xóa sai phương tiện trung thực từ mạng)

(b) khi các bút danh được sử dụng (tức là để bảo vệ quyền riêng tư của người dùng) kẻ tấn công có thể sử dụng song song nhiều bút danh để tạo ra đa số địa phương.

Do đó, đối với các chương trình dựa trên biểu quyết, các nhà nghiên cứu đề nghị không sử nhiều bút danh song song (nghĩa là chúng phải được ngăn chặn bằng cơ chế bút danh cơ bản)

Trong phần này, chúng ta sẽ làm rõ một cách ngắn gọn các vấn đề còn hiện hữu đối với giao tiếp V2X dựa trên IEEE 802.11p và LTE Sau đó chúng ta sẽ đi tới xem xét các vấn đề bảo mật liên quan tới các giao thức tầng thấp chạy với các phương tiện.

Các vấn đề tồn tại và các thiết kế cần xem xét

Như đã được đề cập, tính mạnh mẽ của công nghệ V2X (do xác thực gói được xác định trước và sử dụng các mốc thời gian) làm giảm mức độ nghiêm trọng của tấn công giả mạo (VD: phát lại hay tấn công xen giữa) Trong khi việc sử dụng chữ ký số và PKI đã được nghiên cứu rộng rãi và chuẩn hóa cho giao tiếp V2X, vẫn còn tồn tại một khoảng cách giữa nghiên cứu học thuật và thử nghiệm quy mô lớn PKI cho các ứng dụng V2X Nó yêu cầu các nghiên cứu và kiểm thử sâu hơn để phát hiện và giải quyết các vấn đề tiềm tàng bao gồm các thông số kỹ thuật chưa rõ ràng trong chuẩn, khả năng tương tác của thiết bị giữa các nhà cung cấp khác nhau và khả năng mở rộng quy mô Tồn tại sự đánh đổi giữa các khía cạnh khác nhau như tỷ lệ phân loại sai, kích thước CRL, độ phức tạp, tính khả dụng RSU Ngoài ra, phần lớn các giải pháp bảo mật V2X được biết đến với tổng chi phí tính toán cao và trễ phát sinh Chúng ta cũng quan sát được rằng: (a) đánh giá thí nghiệm và đo điểm chuẩn của các giải pháp bảo mật này mới chỉ được thực hiện dưới các điều kiện hoạt động hạn chế và (b) còn thiếu sự đánh giá, so sánh và nghiên cứu tính khả thi với các phương pháp hiện tại Một vấn đề quan trọng khác đối với các giải pháp bảo mật V2X là việc thiết lập cấu hình Ví dụ: lấy ngưỡng nào thì các tin nhắn/sự kiện/hoạt động sẽ bị coi là độc hại? Bản thân đây cũng là một thách thức nghiên cứu quan trọng bởi tỷ lệ phân loại sai cao có thể dễ dàng gây mất tính ổn định của bất kỳ hệ thống bảo mật nào.

Ngoài ra vẫn còn tồn tại những câu hỏi mở liên quan đến sự phân phối CRL và chiến lược thay đổi bút danh Các kỹ thuật phân tích lưu lượng hiện đại cũng có thể kiểm tra các hình mẫu lưu lượng và trích xuất thông tin vị trí Tuy nhiên, để theo dõi một phương tiện dựa vào BSM/CAM thì kẻ tấn công phải đi theo chiếc xe phát sóng ở một khoảng cách tương đối gần Các biệt danh có thể không đủ để ngăn chặn sự theo dõi vị trí bởi kẻ tấn công có thể suy ra các con đường di chuyển hoàn chỉnh bằng cách kết hợp các biệt danh và thông tin vị trí.

Mặc dù phần lớn các công trình liên quan tập trung vào việc phát hiện các phương tiện hoạt động lỗi, việc thiết kế các cơ chế phản hồi hiệu quả vẫn còn là một vấn đề mở Vấn đề này là vô cùng thiết yếu, đặc biệt đối với tấn công từ chối

Báo cáo Bài tập lớn Thông tin Di động dịch vụ (DoS/DdoS) khi gần như không thể phản ứng với cuộc tấn công Các giải pháp thường được để xuất với giả thiết là các RSU hoàn toàn đáng tin cậy Điều này có thể không phải lúc nào cũng đúng trong thực tế bởi các RSU được triển khai ngoài đường và có thể dễ bị tấn công vật lý (ví dụ: các cảm biến bị giả mạo,phân tích công suất vi sai) Do đó, có một yêu cầu đối với các cơ chế phòng thủ phân lớp là phải xem xét đến các RSU dễ bị tấn công Một thách thức khác là việc triển khai rộng rãi (ví dụ: lắp đặt hay bảo trì) cơ sở hạ tầng và các phương tiện tương thích với V2X bởi chi phí cho RSU và PKI có thể là trở ngại lớn nhất trong việc triển khai hoàn toàn V2X.

Vấn đề bảo mật của LTE – V2X

3GPP nhận ra nhu cầu xác thực người dùng (ví dụ như chỉ xác thực các thực thể được ủy quyền truyền dữ liệu) và đề xuất việc xử lý các gói tin mà dữ liệu đã bị thay đổi bởi các phương tiện 3GPP cũng tuyên bố rằng danh tính các phương tiện không nên bị theo dõi dài hạn hoặc bị nhận dạng từ các liên kết của chúng. Để đạt được điều này, danh tính cố định của phương tiện phải được bảo vệ chặt chẽ và hạn chế tối đa việc tương tác bằng cách sử dụng biệt danh Điều này là quan trọng bởi các trạm phát giả mạo có thể ép buộc các phương tiện chia sẻ IMS (nhận dạng thuê bao di động quốc tế) của mình hay thông tin định vị và do đó trở nên dễ bị ảnh hưởng bởi nhiều loại hình tấn công khác.

Mặc dù việc sử dụng các chứng nhận biệt danh tạm thời cho việc xác thực phương tiện cung cấp một biện pháp bảo mật cho DSRC/C-TS, việc liên kết với

ID của thuê bao trong LTE – V2X đem lại một rủi ro về khả năng xâm phạm quyền riêng tư, đặc biệt với các nhà khai thác mạng di động Mặc dù tài liệu 14 của 3GPP (TS33.185) xác định rõ các yêu cầu bảo mật cho LTE – V2X, các thông số kỹ thuật vẫn chưa có b bất kỳ rằng buộc nào về cơ chế quyền riêng tư cho LTE – V2X PC5, chuyển các công việc này cho nhà điều hành và quản lý ở khu vực.

Dù 3GPP đề xuất thay đổi và ngẫu nhiên hóa ID lớp 2 và địa chỉ IP nguồn (cùng với việc thay đổi ID lớp ứng dụng), chưa có bất kỳ biện pháp bảo vệ bổ sung nào danh cho Uu ngoài những gì các mạng LTE hiện hỗ trợ.

Ngoài ra cũng tồn tại các vấn đề riêng của LTE – V2X (ví dụ như bắt chước hay điều khiển hành vi của trạm BTS) do điều khiển tập trung đối với LTE – V2X dựa trên Uu và PC5 chế độ 3 Ví dụ: nếu kẻ tấn công có quyền điều khiển BTS, hắn có thể (a) toàn quyền điều khiển lịch trình của các liên kết Uu cũng như các liên kết phụ (PC5 chế độ 3), (b) phân bổ các tài nguyên bị va chạm tới các phương tiện để làm giảm hiệu suất truyền thông, (c) cung cấp cấu hình mạng sai cho các phương tiện và (d) chiếm đoạt thông tin vị trí LTE – V2X PC5 chế độ 4 và DSRC/C – ITS lại không dễ bị tấn công bởi những vấn đề này bởi chúng được vận hành một cách phân tán hoàn toàn.

Các mối đe doạ tới các bộ phận nội bộ phương tiện và các biện pháp đối phó

Các phương tiện hiện đại được trang bị với một tá các cảm biến, radar, camera, LiDAR có thể bị các kẻ tấn công làm giả mạo Các điểm yếu bắt đầu tấn công gồm: (a) cảm biến của phương tiện: cảm biến sóng âm, cảm biến chuyển động như gia tốc kế, con quay hồi chuyển, radar, LiDAR và các hệ thống tầm nhìn và module GPS; và (b) các thiết bị của người dùng có thể kết nối với hệ thống thông tin giải trí của xe thông qua Bluetooth/Wifi/USB Mặc dù các cuộc tấn công nội bộ phương tiện (VD như bản thân trên xe) không trực tiếp liên quan tới bảo mật mạng hay truyền thông, nhưng những cuộc tấn công này vẫn ngăn cản phương tiện vận hành một cách bình thường và làm mất tính ổn định của mạng giao tiếp V2X Ví dụ về tấn công nội bộ phương tiện như tấn công kênh phụ có thể giúp kẻ tấn công suy ra được các thông tin mật hay thực hiện tấn công từ chối dịch vụ (vô hiệu hóa hệ thống lái, phanh, trong một hệ thống lái tự động và hỗ trợ lái xe tiên tiến) có thể ảnh hưởng tới vận hành bình thường của phương tiện và có khả năng gây nguy hiểm tới tính mạng của người dùng Các nghiên cứu gần đây về bảo mật của mạng điều khiển (CAN) – đường truyền giao tiếp bên trong được sử dụng ở một số phương tiện, đã chỉ ra rằng chúng dễ bị tấn công kiểu này Do thực tế rằng các phương tiện trong mạng V2X có thể kết nối tới các mạng trung gian không đáng tin như Internet, và do đó các hệ thống con như ECU/OBU có thể bị xâm nhập và điều khiện từ xa Một cách để xử lý vấn đề này là sử dụng cổng trung tâm có thể kích hoạt bảo mật và các giao tiếp đáng tin cậy giữa các hệ thống điện tử của phương tiện.

Một trong những mối quan tâm chính của kiến trúc bảo mật nội bộ phương tiện là bảo vệ phần cứng và các ứng dụng chạy trong ECU Các nhà nghiên cứu đã đề xuất các kỹ thuật khác nhau như: (i) sử dụng các module bảo mật phần cứng (HSM) cho việc khởi động, xử lý và lưu trữ an toàn; (ii) các cơ chế cách ly khác nhau; (iii) kiến trúc phần cứng và phần mềm cho việc cập nhật trên đường (OTA?); (iv) phân tích thống kế các bản sao firmware bằng kỹ thuật đảo ngược để xác định các ECU lỗi,v.v Dù có các cơ chế cách ly, phương tiện vẫn có thể không an toàn bởi các lỗi triển khai và các chính sách cách ly kém mạnh mẽ Bên cạnh đó, việc xác minh các chính sách hay việc triển khai yêu cầu một nỗ lực rất lớn đối với những nền tảng tự động phức tạp như vậy.

Do các lỗ hổng đường bus của mạng điều khiển CAN, một số lượng lớn các cơ chế đã được đề xuất: (i) mã hóa các bản tin CAN và ẩn đi trạng thái của hệ thống để chống lại tấn công DoS có chọn lọc; (ii) sử dụng các mô hình xác minh cho cả bản tin CAN và các ECU để đảm bảo tính toàn vẹn của chúng; (iii) sử dụng mã hóa không đối xứng và các chứng nhận để xác thực các ECU và chia sẻ các khóa đối xứng Các nhà nghiên cứu cũng xem xét tới cách sử dụng hệ thống phát hiện

Báo cáo Bài tập lớn Thông tin Di động xâm phạm dựa trên hành vi (IDS) cho các mạng nội bộ phương tiện Tuy nhiên, việc xây dựng các IDS như vậy cho mạng nội bộ phương tiện là vô cùng thách thức bởi số lượng lớn và không đồng nhất các ECU cũng như do hạn chế về thông tin hiển thị bởi bản tin CAN (vì chúng dành riêng cho nhà sản xuất hay các phiên bản của phương tiện) Mặc dù có tồn tại các IDS cho các mạng nội bộ phương tiện (ví dụ: tận dụng các tần số của bản tin, entropy, đồng bộ lệch, quan sát bối cảnh điều khiển) nhưng những hệ thông này vẫn chưa thể xác định các cuộc tấn công liên quan tới các bản tin CAN bất thường, đơn lẻ Các nhà nghiên cứu cũng đã đề xuất thay thế công nghệ CAN và sử dụng các giải pháp thay thế khác nhưEthernet Mặc dù các công trình nghiên cứu trước tập trung vào cải thiện băng thông và giảm tỷ lệ lỗi với độ trễ, tác động của Ethernet trong bảo mật phương tiện chưa được nghiên cứu kỹ lưỡng và cần điều tra sâu hơn Chúng tôi cũng nhấn mạnh rằng CAN rất có thể vẫn là công nghệ mạng phương tiện phổ biến nhất trong thập kỷ tới Việc thay thế CAN không thể giải quyết tất cả các vấn đề bảo mật hay quyền riêng tư; và các biện pháp bảo mật (chẳng hạn như IDS) được xây dựng dựa trên CAN vẫn sẽ được áp dụng ngay cả khi CAN bị thay thế.

VÀ CÔNG TRÌNH LIÊN QUAN

Lĩnh vực truyền thông phương tiện đã được nghiên cứu rộng rãi Và trong phần này, trước tiên chúng tôi sẽ cung cấp danh sách các dự án nghiên cứu trong công nghiệp cũng như trong học thuật hiện đang làm việc trên các khía cạnh khác nhau của vấn đề bảo mật V2X Sau đó sẽ tới phần tổng hợp các khảo sát liên quan thảo luận về vấn đề bảo mật và quyền riêng tư trong bối cảnh các ứng dụng củaV2X.

Các dự án bảo mật V2X

Trong một thập kỷ vừa qua, đã có sự gia tăng của nhiều dự án nghiên cứu và phát triển tập trung vào bảo mật của giao tiếp V2X nhằm thiết kế, phân tích và kiểm tra các cơ chế bảo mật phù hợp Bảng 9.1 tổng hợp một nghiên cứu so sánh các dự án bảo mật V2X ở Hoa Kỳ và Châu Âu.

Dự án EVITA nhằm phát triển một kiến trúc nội bộ an toàn và các giao thức truyền thông trên phương tiện để phát hiện và ngăn chặn việc giả mạo bất hợp pháp Nó cũng xem xét các yêu cầu pháp lý của mạng trên phương tiện với các vấn đề quyền riêng tư, bảo vệ dữ liệu và các trách nhiệm pháp lý Dự án simTD điều tra về sự đóng góp của các hệ thống V2X bảo mật để cải thiện an toàn giao thông và tính lưu động bằng thử nghiệm trong thế giới thật Dự án phát triển nhiều bối cảnh, giao thức, quy trình mật mã hóa và cơ chế bảo vệ quyền riêng tư khác nhau cho cuộc thử nghiệm V2X trong thực tế Dự án OVERSEE đề xuất một nền tảng bảo mật nội bộ phương tiện để chạy các ứng dụng OEM và non – OEM Dự án này nhằm phát triển các môi trường thời gian được bảo vệ (để chạy đồng thời và an toàn) bằng cách cung cấp cách ly giữa các ứng dụng độc lập Nó cũng đề xuất cung cấp một giao diện bảo mật từ bên ngoài với mạng bên trong của phương tiện Nhiều khía cạnh bảo mật và quyền riêng tư (ví dụ như hiệu suất, khả năng mở rộng, tính khả thi) của hệ thống V2X trong tương lai được nêu ra trong dự án PRESERVE Đây là một trong các dự án chính ở châu Âu mà được thử nghiệm với nhiều giải pháp bảo mật, quyền riêng tư V2X và các nỗ lực thiết kế cùng với triển khai được đề xuất cho các tiêu chuẩn Dự án ISE mục đích nhằm thiết kế và triển khai một hệ thống PKI có thể tương thích với chuẩn ETSI CAMP – VSC6 đề xuất phát hiện các hành vi lỗi trong mạng V2X cả nội bộ và bên ngoài phương tiện Nguyên mẫu nghiên cứu này hiện đang là một trong những ứng cử viên dẫn đầu để hỗ trợ triển khai giải pháp bảo mật V2X dựa trên PKI ở Hoa Kỳ.

Báo cáo Bài tập lớn Thông tin Di động

Bảng 9.1: So sánh định lượng các dự án bảo mật V2X chính tại châu Âu và Hoa Kỳ

EVITA sim T D OVERSEE PRESERVE ISE CAMP-

VSC6 Định hướng của dự án

OBS CNS OBS OBS và CNS CNS CNS

Phát hiện và ngăn chặn kẻ xâm phạm giao tiếp V2X tin cậy

Nền tảng ứng dụng và truyền thông tin cậy và chuẩn hóa

Các giải pháp bảo mật và quyền riêng tư cho mạng lưới nội bộ và liên phương tiện phù hợp với thị trường

Tin nhắc xác thực bảo mật quyền riêng tư

Quản lý thông tin xác thực bảo mật và phát hiện hành vi sai trái

Triển khai để chứng minh

Triển khai để chứng minh

Triển khai để chứng minh, mô phỏng

Triển khai để chứng minh

Lý thuyết, phát triển nghiên mẫu Tận dụng các dự án trước

Không Không Có Có Không Không

KPI N/A Có N/A Có Có Có Địa điểm Châu Âu Đức Châu Âu Châu Âu Pháp Hoa Kỳ

Các khảo sát liên quan

Một số các cuộc khảo sát đã được công bố về nhiều khía cạnh của giao tiếp giữa các phương tiện trong thập kỷ vừa qua Trong dự án trước đây của Saini đã cung cấp một khảo sát tổng hợp về các nghiên cứu tồn tại cho VANET (mạng adhoc cho các phương tiện) Ngoài ra cũng tồn các các nghiên cứu trước đó thảo luận về các nền tảng, ứng dụng và các công nghệ giao tiếp Tuy nhiên, các vấn đề về bảo mật và quyền riêng tư của phương tiện vẫn chưa được nghiên cứu sâu Các nghiên cứu trước đây đã đánh giá ngắn gọn về các vấn đề này trong các giao thức nội bộ phương tiện (ví dụ như CAN), nhưng các khía cạnh giao tiếp và các hoạt động tiêu chuẩn hóa vẫn chưa được thảo luận.

Các vấn đề về bảo mật và quyền riêng tư trong mạng giao thông dân dụng đã được nghiên cứu rộng rãi và đã có nhiều cuộc khảo sát thảo luận về nhiều khía cạnh (như yêu cầu chức năng, giao thức, lỗ hổng bảo mật,v.v.) Trong một nghiên cứu trước đây, các nhà nghiên cứu đã khảo sát nhiều cách tiếp cận phát hiện hành vi sai (cả lỗi và bị tấn công) và các giải pháp để đối phó sự phát tán dữ liệu độc hại trong mạng lưới các phương tiện Tuy nhiên, các tác giả chủ yếu tập trung vào các cuộc tấn công đưa vào dữ liệu sai chứ không bao gồm các phạm vi rộng hơn Azees nghiên cứu về VANET như một trường hợp đặc biệt của mạng di động ad hoc mà không bao gồm các loại tấn công vào hệ thống quan trọng như trong trường hợp ứng dụng của V2X Một công trình gần đây cũng khảo sát cơ chế phát hiện cho nhiều loại hình tấn công truyền thông giao thông Tuy nhiên nó chủ yếu tập trung vào các loại tấn công hướng định tuyến và cơ chế phỏng thủ Arshad tóm tắt các kỹ thuật phát hiện thông tin sai lệch cho VANET Lu khảo sát về mô hình xác thực ẩn danh và Hamida nghiên cứu các thách thức liên quan tới các ứng dụng V2X bảo mật và an toàn cho chuẩn ETSI C – ITS – mặc dù mục tiêu chính của họ và các giải pháp mật mã Ngược lại, khảo sát của chúng tôi nhắm tới cung cấp một cái nhìn tổng quan về khía cạnh bảo mật của các ứng dụng hay nền tảng V2X hiện đại như DSRC/C – ITS cũng như C – V2X Các khảo sát gần đây của Hasrouny và MacHardy cung cấp một cái nhìn rộng về giao tiếp V2X bao gồm các công nghệ vô tuyến, nỗ lực chuẩn hóa, các kỹ thuật tấn công cũng như các vấn đề bảo mật khác nhau Le cũng đã nghiên cứu về các yêu cầu bảo mật và quyền riêng tư từ cả góc nhìn nội bộ cũng như liên phương tiện Tuy nhiên, do phạm vi vô cùng rộng, các công trình được kể trên đều chưa cung cấp đầy đủ và chi tiết về các cơ chế phát hiện Một cuộc khảo sát về các mô hình tin cậy hiện hành cho VANET đã được thực hiện Kamel nghiên cứu nhiều phương pháp phát hiện hành vi sai lệch và thảo luận về tính khả thi của chúng dựa theo các tiêu chuẩn, yêu cầu về phần mềm hay phần cứng cũng như tuân thủ luật lệ Một công trình gần đây nghiên cứu cơ chế phát hiện hành vi sai lệch cho các ứng dụng V2X – dù tác giả chủ yếu tập trung vào bối cảnh DSRC/C – ITS, và không như chúng tôi, họ không

Báo cáo Bài tập lớn Thông tin Di động cung cấp chi tiết về ngăn xếp giao tiếp, các chuẩn bảo mật liên quan hay các thách thức đối với các công nghệ mới xuất hiện như LTE – V2X Chúng tôi xin nhấn mạnh rằng mặc dù các công trình nghiên cứu trước đã đề cập đến một phạm vi lớn các khía cạnh bảo mật và quyền riêng tư, nhưng phần lớn các khảo sát trước đây chỉ tập trung vào một số vấn đề chứ không cung cấp được một cái nhìn tổng quan về lĩnh vực này Chúng tôi tin rằng công trình của mình sẽ bổ sung cho các khảo sát trước và cung cấp một cái nhìn toàn diện về các vấn đề bảo mật hiện có của V2X và có thể đề xuất thêm các biện pháp để đối phó.